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内 容 简 介 


本 书 由 浅 入 深 、 系 统 全 面 地 介绍 了 计算 机 网 络 安全 技术 ， 内 容 涵盖 基础 概念 及 各 种 各 样 的 安全 问题 。 
全 书 共 分 7 章 ， 内 容 包 括 网 络 安全 问题 的 基础 知识 ; 黑客 常用 的 攻击 方法 及 与 之 对 应 的 防范 措施 ， 计 算 机 
病毒 的 基础 知识 、 工 作 原 理 及 清除 病毒 的 方法 ;密码 学 的 基础 知识 、 加 密 技术 的 发 展 及 分 类 ， 代 表 性 的 加 
密 技术 的 原理 和 破解 方法 ; 防火 墙 的 原理 和 应 用 ; 最 新 虚拟 操作 系统 Windows Server 2008 的 安全 性 问题 以 
及 Web 的 安全 性 问题 。 

本 书 以 工作 场景 导入 一 知识 讲解 一 回 到 工作 场景 一 工作 实 训 营 为 主线 组 织 编写 ， 每 一 章 都 精心 挑选 了 
具有 代表 性 的 实 训 题 和 工作 中 常见 问题 解析 ， 以 便 读 者 掌握 本 章 的 重点 及 提高 实际 操作 能 力 。 

本 书 结构 清晰 、 易 教 易学 、 实 例 丰 富 、 可 操作 性 强 ， 既 可 作为 高 职高 专 院 校 的 教材 ， 也 可 作为 各 类 培 
训 班 的 培训 教材 。 此 外 , 本 书 也 非常 适 于 从 事 计 算 机 网 络 安全 技术 研究 与 应 用 人 员 以 及 自学 人 员 参 考 阅读 。 
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从 书 序 


高 等 职业 教育 强调 “以 服务 为 宗旨 ， 以 就 业 为 导向 ， 走 产 学 结合 发 展 的 道路 ”。 能 否 
服务 于 社会 、 促 进 就 业 和 提高 社会 对 毕业 生 的 满意 度 ， 是 衡量 高 等 职业 教育 是 否 成 功 的 重 
要 指标 。 坚 持 “ 以 服务 为 宗旨 ， 以 就 业 为 导向 ， 走 产 学 结合 发 展 的 道路 ”体现 了 高 等 职 ; 
教育 的 本 质 ， 是 其 适应 社会 发 展 的 必然 选择 。 为 了 提高 高 职 院 校 的 教学 质量 ， 培 养 符合 社 
会 需求 的 高 素质 人 才 ， 我 们 计划 打破 传统 的 高 职 教材 以 学 科 体系 为 中 心 、 讲 述 大 量 理论 和 
识 、 再 配 以 实例 的 编写 模式 ， 设 计 一 套 突出 应 用 性 、 实 践 性 的 从 书 。 一 方面 ， 强 调 课程 内 
容 的 应 用 性 。 以 解决 实际 问题 为 中 心 ， 而 不 是 以 学 科 体系 为 中 心 ， 基 础 理论 知识 以 应 用 为 
目的 ， 以 “必需 、 够 用 ”为 度 。 另 一 方面 ， 强 调 课程 的 实践 性 。 在 教学 过 程 中 增加 实践 性 
环节 的 比重 。 

2009 年 5 月， 我 们 组 织 全 国 高 等 职业 院 校 的 专家 、 教 授 组 成 了 “高 职高 专 工作 过 
程 ， 立 体 化 创新 规划 教材 ”编审 委员 会 ， 全 面 研讨 人 才 培养 方案 ， 并 结合 当前 高 职 教育 的 
实际 情况 ， 历 时 近 两 年 精心 打造 了 这 套 “ 高 职高 专 工作 过 程 。 立体 化 创新 规划 教材 ”从 书 。 
我 们 希望 通过 对 这 一 套 全 新 的 、 突 出 职业 素质 需求 的 高 质量 教材 的 出 版 和 使 用 ， 能 促进 技 
能 型 人 才 培 养 的 发 展 。 

本 套 从 书 以 “工作 过 程 为 导向 ”， 强 调 以 培养 学 生 的 职业 行为 能 力 为 宗 由 ， 以 现实 的 
职业 要 求 为 主线 ， 选 择 与 职业 相关 的 教学 内 容 组 织 开展 教学 活动 和 过 程 ， 使 学 生 在 学 习 和 
实践 中 掌握 职业 技能 、 专 业 知识 及 工作 方法 ， 从 而 构建 属于 自己 的 经 验 和 知识 体系 ， 以 解 
决 工作 中 的 实际 问题 。 

1. 首 推 书目 


本 套 从 书 的 首 推 书目 如 下 : 
计算 机 应 用 基础 
办 公 自 动 化 技术 应 用 教程 
se 与 维修 技术 

+ 语言 程序 设计 与 应 用 教程 
a 语言 程序 设计 
Java 2 程序 设计 与 应 用 教程 
Visual Basic 程序 设计 与 应 用 开发 
Visual C# 2008 程序 设计 与 应 用 教程 
网 页 设计 与 制作 
计算 机 网 络 安全 技术 
计算 机 网 络 规划 与 设计 
局 域 网 组 建 、 管 理 与 维护 实用 教程 
基于 .NET 3.5 的 网 站 项 目 开发 实践 
Windows Server 2008 网 络 操作 系统 
基于 项 目 教学 的 ASP.NET(C 搬 程序 开发 设计 
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SQL Server 2008 数据 库 技术 实用 教程 

数据 库 应 用 技术 实 训 指 导 教程 (SQL Server 版 ) 
单片机 原理 及 应 用 技术 

基于 ARM 的 舱 入 式 系统 接口 技术 

数据 结构 实用 教程 

AutoCAD 2010 实用 教程 

C# Web 数据 库 编 程 


2. 丛书 特点 


(1) 以 项 目 为 依托 ， 注 重 能 力 训练 。 以 “工作 场景 导入 ”一 “知识 讲解 ”一 “ 回 到 工 
作 场景 ” 一 “工作 实 训 营 ” 为 主线 编写 ， 体 现 了 以 能 力 为 本 的 教育 模式 。 

(2) 内 容 具 有 较 强 的 针对 性 和 实用 性 。 丛 书 以 贴近 职业 岗位 要 求 、 注 重 职业 素质 培养 
为 基础 ， 以 “解决 工作 场景 问题 ”为 中 心 展开 内 容 ， 书 中 每 一 章 都 涵盖 了 完成 工作 所 需 的 
知识 和 具体 操作 过 程 。 基 础 理论 知识 以 应 用 为 目的 ， 以 “必需 、 够 用 ”为 度 ， 因 而 具有 很 
强 的 针对 性 与 实用 性 ， 可 提高 学 生 的 实际 操作 能 力 。 

(3) 易于 学 习 、 提 高 能 力 。 通 过 具体 案例 引出 问题 ， 在 掌握 知识 后 立刻 回 到 工作 场景 
中 解决 实际 问题 ， 使 学 生 能 很 快 上 手 ， 提 高 实际 操作 能 力 ; 每 章 末 的 “工作 实 训 营 ”板块 
都 安排 了 有 代表 意义 的 实 训练 习 ， 针 对 问题 给 出 明确 的 解决 步骤 ， 阐 明了 解决 问题 的 技术 
要 点 ， 并 对 工作 实践 中 常见 问题 进行 分 析 ， 使 学 生 进 一 步 提高 操作 能 力 。 

(4) 示例 丰富 、 由 浅 入 深 。 书 中 配备 了 大 量 经 过 精心 挑选 的 例题 ， 既 能 帮助 读者 理解 
知识 ， 又 具有 启发 性 。 针 对 较 难 理解 的 问题 ， 例 子 都 是 从 简单 到 复杂 ， 内 容 逐 步 深 入 。 


3. 读者 定位 
本 系列 教材 主要 面向 高 等 职业 技术 院 校 和 应 用 型 本 科 院 校 ， 同 时 也 非常 适合 计算 机 培 
训 班 和 编程 开发 人 员 培 训 、 自 学 使 用 。 


4. 关于 作者 


丛书 编 委 会 特聘 执教 多 年 且 有 较 高 学 术 造 话 和 实践 经 验 的 名 师 参与 各 册 之 编号。 他 们 
长 期 从 事 有 关 的 教学 和 开发 研究 工作 ， 积 累 了 丰富 的 经 验 ， 对 相应 课程 有 较 深 的 体会 与 独 
特 的 见解 ， 本 丛书 凝聚 了 他 们 多 年 的 教学 经 验 和 心血 。 


5. 互动 交流 


本 从 书 保持 了 清华 大 学 出 版 社 一 贯 严谨 、 科 学 的 图 书 风 格 ， 但 由 于 我 国 计 算 机 应 用 技 
术 教 育 正在 蓬勃 发 展 ， 要 编写 出 满足 新 形势 下 教学 需求 的 教材 ， 还 需要 不 断 地 努力 实践 。 
因此 ， 我 们 非常 欢迎 全 国 更 多 的 高 校 老师 积极 加 入 到 “高 职高 专 工 作 过 程 。 立 体 化 创新 规 
划 教 材 一 一 计算 机 系列 ”编审 委员 会 中 来 ， 推 荐 并 参与 编写 有 特色 、 有 创新 的 教材 。 同 时 ， 
我 们 真诚 希望 使 用 本 丛书 的 教师 、 学 生 和 读者 朋友 提出 宝贵 的 意见 和 建议 ， 使 之 更 到 成 熟 。 
联系 信箱 : Book21Press@126.com。 
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网 络 安全 是 一 门 涉及 计算 机 科学 、 网 络 技术 、 通 信 技 术 、 密 码 技术 、 信 息 安 全 技术 、 
应 用 数学 、 数 论 、 信 息 论 等 多 个 学 科 的 综合 性 学 科 。 随 着 计算 机 网 络 的 普及 和 发 展 ， 我 们 
鸭 生 活 和 工作 越 来 越 依 赖 于 网 络 ， 与 此 相关 的 网 络 安全 问题 也 随 之 凸现 出 来 ， 并 逐渐 成 为 
网 络 应 用 所 面临 的 主要 问题 。 那 么 ， 网 络 安全 这 一 问题 是 如 何 提 到 人 们 的 议事 日 程 中 来 
的 呢 ? 

网 络 发 展 的 早期 ， 人 们 更 多 地 强调 网 络 的 方便 性 和 可 用 性 ， 忽 略 了 网 络 的 安全 性 。 当 
网 络 仅仅 用 来 传送 一 般 性 信息 的 时 候 ， 当 网 络 的 覆盖 面积 仅 限 于 一 幢 大 楼 、 一 个 校园 的 时 
候 ， 安 全 问题 并 没有 突出 地 表现 出 来 。 但 是 ， 当 在 网 络 上 运行 关键 性 的 信息 如 银行 业务 等 ， 
当 企业 的 主要 业务 运行 在 网 络 上 ， 当 政府 部 门 的 活动 日 益 网 络 化 时 ， 计 算 机 网 络 安全 就 成 
为 一 个 不 容 忽视 的 问题 。 随 着 组 织 和 部 门 对 网 络 依赖 性 的 增强 ， 一 个 相对 较 小 的 网 络 也 突 
显 出 一 定 的 安全 问题 ， 尤 其 是 组 织 部 门 的 网 络 ， 要 面 对 来 自 外 部 网 络 的 各 种 安全 威胁 ， 即 
使 是 网 络 出 于 自身 利益 的 考虑 没有 明确 的 安全 要 求 ， 也 可 能 由 于 被 攻击 者 利用 而 带 来 不 必 
要 的 法 律 纠纷 。 网 络 黑客 的 攻击 、 网 络 病毒 的 泛滥 和 各 种 网 络 业务 的 安全 要 求 已 经 构成 了 
对 网 络 安全 的 迫切 需求 。 

本 书 主要 内 容 如 下 。 

第 1 章 主要 介绍 计算 机 网 络 安全 的 基本 概念 及 所 涉及 的 内 容 。 

第 2 章 主要 介绍 黑客 的 系统 攻击 方法 ， 包 括 对 黑客 的 基本 认识 、 他 们 常见 的 攻击 方法 、 
木马 病毒 及 对 攻击 的 预防 措施 。 

第 3 章 主要 介绍 计算 机 病毒 ， 包 括 计 算 机 病毒 的 基本 概念 、 特 征 、 原 理 与 实例 ， 及 如 
何 简单 查 毒 杀毒 和 安装 杀毒 软件 清除 病毒 。 

第 4 章 主要 介绍 数据 加 密 技术 ， 包 括 密码 学 的 重要 性 、 加 密 技 术 的 发 展 、 分 类 以 及 代 
表 性 的 加 密 技 术 的 原理 和 破解 方法 。 
第 5 章 主要 介绍 防火 墙 技术 ， 包 括 防火 墙 的 基本 知识 、 分 类 、 原 理 、 应 用 以 及 选 购 防 
火 墙 的 注意 事项 。 
第 6 章 主 要 介绍 最 新 的 网 络 操作 系统 Windows Server 2008( 这 是 本 书 的 特色 所 在 ), 包括 
Windows Server 2008 的 新 特性 、 安 装 过 程 、 安 全 模型 、 账 号 管理 、 注 册 表 信息 及 常用 的 系 
统 进程 和 服务 。 

第 7 章 主要 介绍 Web 的 安全 性 ， 包 括 Web 服务 器 和 浏览 器 存在 的 一 些 漏洞 和 其 安全 
性 ， 以 及 脚本 语言 的 安全 性 。 

本 书 具 有 以 下 特点 。 

(1) 结构 清晰 、 模 式 合理 。 以 “工作 场景 导入 ”一 “知识 讲解 ”一 “ 回 到 工作 场 
景 ” 一 “工作 实 训 营 ”为 主线 ， 并 以 这 种 新 颖 的 模式 合理 安排 各 章 内 容 。 

(2) 示例 丰富 、 实 用 性 强 。 本 书 每 一 章 在 讲解 绘图 知识 时 都 列举 了 大 量 的 例子 ， 并 给 
出 了 具体 的 操作 步 又， 突出 了 实用 性 与 可 操作 性 。 
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(3) 上 手 快 、 易 教学 。 通 过 具体 案例 引出 问题 ， 在 掌握 知识 后 ， 立 刻 回 到 工作 场景 解 
决 问题 ， 使 学 生 很 快 上 手 ， 以 教 与 学 的 实际 需要 取材 谋 篇 ， 方 便 老师 教学 。 

(4) 安排 实 训 ， 提 高 能 力 。 章 后 安排 了 “工作 实 训 营 ” 板 块 ， 针 对 问题 给 出 明确 的 解 
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(GE 
等 ” 木 章 要 点 
计算 机 网 络 的 广泛 应 用 是 当今 信息 社会 的 一 场 革命 : 电子 
商务 和 电子 政务 的 发 展 和 普及 不 仅 给 我 们 的 生活 带 来 了 很 大 的 
便利 ， 而 且 正 在 创造 着 巨大 的 财富 。 与 此 同时 ， 计 算 机 网 络 也 
正面 临 着 日 益 剧 增 的 安全 威胁 。 网 络 与 信息 安全 问题 日 益 突出 。 
已 成 为 影响 国家 安全 、 社 会 稳定 和 人 民生 活 的 大 事 ， 了 解 计 算 
机 的 网 络 安全 ， 保 障 网 络 安全 、 有 序 和 有 效 地 运行 ， 是 保证 互 


联网 高 效 、 有 序 应 用 的 关键 之 一 。 


ry 
等 ”技能 目标 

图“ 了 解 网 络 安全 的 基本 信息 及 其 发 展 历程。 

加 “了解 网 络 安全 涉及 的 内 容 。 

国 “掌握 网 络 安全 防护 体系 的 组 成 。 


计算 机 网 络 安全 技术 四 


“1.1 网 络 安全 简介 


1.1.1 网 络 安全 的 重要 性 


随 着 计算 机 系统 的 广泛 应 用 ， 各 类 应 用 人 员 的 队伍 迅速 发 展 壮大 ， 操 作 人 员 、 编 程 人 
员 和 系统 分 析 人 员 的 失误 或 经 验 的 缺乏 都 会 造成 系统 的 安全 功能 不 足 ， 随 之 而 来 的 便 是 计 
算 机 网 络 安全 的 问题 。 计 算 机 网 络 安全 是 指 利用 网 络 管理 控制 和 技术 措施 ， 保 证 网 络 环境 
中 数据 的 保密 性 、 完 整 性 及 可 使 用 性 受到 保护 。 计 算 机 网 络 安全 包括 两 个 方面 ， 即 物理 安 
全 和 风 辑 安全 。 物 理 安全 指 系 统 设备 及 相关 设施 受到 物理 保护 ， 免 于 破坏 、 丢 失 等 。 逻 辑 
安全 包括 信息 的 完整 性 、 保 密 性 和 可 用 性 。 计 算 机 网 络 安全 涉及 许多 学 科 领 域 ， 既 包括 自 
然 科 学 ， 又 包括 社会 科学 。 就 计算 机 系统 的 应 用 而 言 ， 安 全 技术 涉及 计算 机 技术 、 通 信 技 
术 、 存 取 控 制 技术 、 校 验 认 证 技术 、 容 错 技 术 、 加 密 技术 、 防 病毒 技术 、 抗 干扰 技术 、 防 
泄露 技术 等 ， 因 此 计算 机 网 络 安全 是 一 个 非常 复杂 的 综合 问题 ， 并 且 其 技术 、 方 法 和 措施 
都 随 着 系统 应 用 环境 的 变化 而 不 断 变化 。 从 认识 论 的 角度 看 ， 人 们 往往 首先 关注 系统 功能 ， 
然后 才 被 动 地 从 现象 注意 系统 应 用 的 安全 问题 。 因 此 ， 该 领域 普遍 存在 着 重 应 用 、 轻 安全 、 
法 律 意识 淡薄 的 现象 。 

计算 机 系统 的 安全 是 相对 于 不 安全 而 言 的 ， 许 多 隐患 、 危 险 和 攻击 都 是 隐蔽 的 、 潜 在 
的 、 难 以 明确 却 又 广泛 存在 的 。 网 络 上 各 种 新 业务 的 兴起 ， 比 如 电子 商务 、 电 子 政务 、 电 
子 货币 、 网 络 银行 ， 以 及 各 种 专业 用 网 的 建设 ， 使 得 各 种 机 密 信息 的 安全 问题 越 来 越 重要 。 
计算 机 犯罪 事件 逐年 增多 ， 已 成 为 普遍 的 国际 性 问题 。 随 着 我 国信 息 化 进程 脚步 的 加 快 ， 
信息 安全 事件 频繁 出 现 ， 我 们 必须 采取 有 力 的 措施 来 维护 计算 机 网 络 的 安全 。 

网 络 存 在 的 问题 主要 有 三 类 。Q@ 机 房 安全 。 机 房 是 网 络 设备 运行 的 关键 地 ， 容 易 发 生 
安全 问题 ， 有 物理 安全 (火灾 、 和 雷击、 盗贼 等 )、 电 气 安 全 (停电 、 负 载 不 均等 ) 等 情况 。@ 病 
毒 的 侵入 和 黑客 的 攻击 。Internet 开拓 性 的 发 展 也 使 病毒 成 为 灾难 。 据 美国 国家 超级 计算 机 
应 用 中 心 (NCSA) 的 一 项 调查 发 现 , 几乎 100% 的 美国 大 公司 都 曾 在 它们 的 网 络 或 台式 机 上 遵 
到 过 计算 机 病毒 的 攻击 。 黑 客 对 计算 机 网 络 构成 的 威胁 大 体 可 分 为 两 种 : 一 是 对 网 络 中 信 
息 的 威胁 ; 二 是 对 网 络 中 设备 的 威胁 。 黑 客 以 各 种 方式 有 选择 地 破坏 信息 的 有 效 性 和 完整 
性 ， 进 行 截获 、 窃 取 、 破 译 ， 以 获得 重要 机 密 信息 。@@ 管 理 不 健全 而 造成 的 安全 漏洞 。 从 
广泛 的 网 络 安全 意义 范围 来 看 ， 网 络 安全 不 仅仅 是 技术 问题 ， 更 是 一 个 管理 问题 。 它 涵盖 
管理 机 构 、 法 律 、 技 术 、 经 济 等 各 方面 。 网 络 安全 技术 只 是 实现 网 络 安全 的 工具 。 因 此 ， 
要 解决 网 络 安全 问题 ， 必 须要 有 综合 的 解决 方案 。 

图 1.1 和 图 1.2 所 示 为 近年 来 网 络 所 受 攻击 的 状况 。 从 以 上 各 方面 来 看 ， 不 难 发 现 ， 计 
算 机 网 络 安全 的 确 是 非常 严肃 且 重要 的 一 件 事 。 
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图 1.2 2003 年 至 2012 年 主要 漏洞 发 布 与 蠕虫 爆发 时 间 间 隔 表 


1.1.2 ”网络 脆弱 性 的 原因 


造成 计算 机 网 络 安全 问题 的 原因 很 多 ， 但 是 可 以 把 它们 归纳 为 两 大 类 : 外 在 的 威胁 和 
内 在 的 脆弱 性 。 从 威胁 的 角度 来 看 ， 潜 在 的 威胁 源 增 多 ， 威 胁 发 生 的 可 能 性 增 大 。 如 果 把 
威胁 看 作 外 因 ， 那 么 系统 不 安全 的 内 因 也 可 以 说 是 最 根本 的 原因 ， 即 计算 机 网 络 本 身 存 在 
脆弱 性 ， 而 且 这 种 脆弱 性 问题 越 来 越 严 重 。 
危 弱 性 是 指 一 个 系统 的 可 被 非 预期 利用 的 方面 ， 例 如 系统 中 存在 各 种 漏洞 ， 潜 在 的 威 
四 就 可 以 利用 漏洞 给 系统 造成 损失 。 系 统 遭 受 威胁 ， 最 根本 的 原因 在 于 本 身 存 在 脆弱 性 。 
为 攻击 者 只 有 利用 了 系统 的 脆弱 性 ， 攻 击 才 能 成 功 。 系 统 的 脆弱 性 包括 系统 最 初 存在 的 
脆弱 性 和 后 来 增加 的 安全 措施 所 存在 的 脆弱 性 。 
危 弱 性 完整 描述 具有 其 独特 性 ， 这 是 因为 : 编程 过 程 中 出 现 逻 辑 错误 是 很 普遍 的 现象 ， 
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这 些 错误 绝 大 多 数 是 由 于 疏 忽 造 成 的 ， 数 据 处 理 比 数值 计算 更 容易 出 现 逻 辑 错误 ， 过 小 或 
过 大 的 程序 模块 都 比 中 等 程序 模块 更 容易 出 现 错误 ;脆弱 性 与 具体 的 系统 环境 密切 相关 ; 
在 不 同 种 类 的 软 、 硬 件 设 备 中 ， 同 种 设备 的 不 同 版 本 之 间 ， 由 不 同 设备 构成 的 不 同系 统 之 
间 ， 以 及 同 种 系统 在 不 同 的 设置 条 件 下 ， 都 会 存在 各 种 不 同 的 安全 问题 ;脆弱 性 问题 与 时 
间 紧 密 相关 ， 随 着 时 间 的 推移 ， 旧 的 脆弱 性 会 不 断 得 到 修补 或 纠正 ， 新 的 脆弱 性 会 不 断 出 
现 ， 因 而 脆弱 性 问题 会 长 期 存在 。 在 对 脆弱 性 进行 研究 时 ， 除 了 需要 掌握 脆弱 性 本 身 的 属 
性 特征 外 ， 还 要 了 解 与 脆弱 性 密切 相关 的 其 他 对 象 的 特点 。 脆 弱 性 的 基本 属性 有 脆弱 性 类 
型 、 造 成 的 后 果 、 严 重 程度 、 利 用 需求 、 环 境 特征 等 。 与 脆弱 性 相关 的 对 象 包括 : 存在 脆 
弱 性 的 软 硬 件 、 操 作 系 统 、 相 应 的 补丁 程序 和 修补 脆弱 性 的 方法 等 。 

脆弱 性 包括 环境 、 受 影响 的 对 象 、 对 象 所 受 的 影响 、 影 响 对 象 的 方式 、 外 部 输入 逻辑 
错误 、 系 统 弱 点 、 社 会 工程 、 管 理 策 略 9 个 部 分 ， 通 过 分 析 每 个 作用 是 否 和 安全 策略 相 违 
背 ， 就 可 以 找到 产生 脆弱 性 的 深层 原因 。 

1. 环境 

我 们 认为 “系统 ”是 由 “应 用 程序 ”和 “运行 环境 ”组 成 的 ， 这 样 ， 所 有 被 认为 不 属 
于 运行 程序 的 代码 和 部 件 就 属于 环境 。 内 部 对 象 以 及 外 部 输入 之 间 的 相互 作用 使 环境 具有 
动态 特征 和 共享 特性 。 这 使 程序 的 安全 策略 实行 起 来 更 加 困难 ， 且 容易 发 生 错误 。 从 安全 
策略 的 角度 出 发 ， 执 行 每 个 操作 都 需要 考虑 以 下 环境 实体 : 环境 名 称 、 程 序 运行 的 目录 、 
创建 的 临时 项 目 、 内 存 空 间 、 输 入 的 数据 、 存 储 的 文件 、 对 象 属性 、 对 象 性 质 、 网 络 标志 等 。 

2. 对 象 

程序 代码 和 数据 空间 中 的 任何 一 个 元 素 都 被 认为 是 一 个 内 部 对 象 。 对 于 一 个 特定 的 操 
作 而 言 ， 这 些 对 象 又 构成 了 内 部 环境 ， 每 个 对 象 就 是 一 个 环境 实体 。 这 些 内 部 对 象 有 : 命 
令 提 示 、 用 户 文件 、 系 统 相关 文件 、 公 共 文 件 、 系 统 目录 、 系 统 分 区 、 堆 中 的 数据 和 可 执 
行 代码 、 栈 中 的 数据 和 可 执行 代码 、 栈 中 的 返回 地 址 、 系 统 程序 、 用 户 程序 、 系 统 信息 、 
系统 函数 或 服务 程序 库 、 网 络 连接 、 用 户 名 、 域 名 、 时 间 、 电 子 邮件 、 网 络 端口 、 网 络 数 
据 CPU 包 、 内 部 系统 名 称 、 系 统 设备 、 地 址 映射 等 。 

3. 对 象 所 受 的 影响 

程序 内 部 的 相互 作用 导致 内 部 对 象 的 改变 ， 包 括 完 全 取代 、 可 写 、 可 读 、 可 追加 、 被 
创建 、 被 显示 、 所 有 权 被 改变 、 权 限 被 改变 、 可 预测 、 能 够 动态 加 载 和 连接 、 被 耗 尽 、 被 
毁坏 、 被 导出 、 被 锁 、 被 调试 、 被 关闭 、 被 终止 等 。 

4. 影响 对 象 的 方式 

影响 对 象 的 方式 有 : 连接 或 绑 定 连 接 、 向 堆栈 缓冲 区 复制 数据 、 配 置 错误 、 使 用 特殊 
字符 、 修 改 环境 变量 、 修 改编 码 、 改 变 对 象 名 字 、 继 承 不 必需 的 特权 、 提 供 不 适 当 的 权限 、 
系统 调用 敏感 信息 、 访 问 相关 路 径 、 不 能 正确 完成 保护 机 制 、 使 用 代理 绕 过 保护 机 制 、 使 
用 死 循 环 消耗 资源 、 临 界 选择 错误 等 。 
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5. 外 部 输入 


j 户 通过 外 部 输入 直接 或 间接 地 影响 程序 的 内 部 操作 ， 控 制程 序 的 运行 步骤 ， 从 而 实 
现 其 需要 的 程序 功能 。 一 般 的 输入 类 型 有 : 环境 变量 、 命 令 行 选项 、 网 络 数据 、 临 时 文件 、 
配置 文件 、 数 据 文件 、 系 统 用 户 信息 、 系 统 调用 的 参数 、 库 调用 的 参数 、 可 移动 介质 等 。 
计算 机 网 络 的 脆弱 性 被 划分 成 两 个 方面 的 因素 和 四 个 基本 类 别 ， 被 社会 广泛 接受 的 划 
分 如 表 1.1 所 示 。 从 脆弱 性 的 利用 时 效 上 讲 ,社会 工程 影响 和 风 辑 错误 造成 的 脆弱 性 可 以 很 
快 地 对 系统 产生 作用 ， 而 管理 策略 失误 和 系统 弱点 的 影响 要 过 一 段 时 间 才 能 显现 出 来 。 从 
脆弱 性 的 利用 需求 来 看 ， 利 用 计算 机 网 络 本 身 的 脆弱 性 比 利 用 社会 工程 和 策略 失误 的 脆弱 
性 需要 更 多 的 专业 技术 知识 。 


表 1.1 计算 机 脆弱 性 的 类 型 


社会 工程 影响 
管理 策略 失误 


6. 逻辑 错误 


对 计算 机 网 络 安全 有 直接 影响 的 ， 通 常 是 软件 程序 或 硬件 设计 上 的 ， 这 也 是 脆弱 性 研 
究 的 主要 内 容 。“Bug” 这 种 类 型 的 脆弱 性 大 多 是 低 质量 的 程序 代码 等 技术 原因 造成 的 ， 一 
般 可 分 为 环境 错误 、 配 置 错误 和 编程 错误 。 

(1) 环境 错误 是 由 于 没有 能 够 正确 处 理 程序 运行 时 环境 限制 造成 的 。 这 类 错误 依赖 于 
操作 环境 。 

(2) 编程 错误 一 般 是 在 软件 开发 时 ， 由 于 程序 设计 错误 、 错 误 的 需求 或 逻辑 错误 而 
成 的 。 

(3) 配置 错误 包括 程序 安装 在 不 合适 的 位 置 、 程 序 安装 时 参数 设置 错误 和 程序 在 安装 
时 的 访问 权限 错误 。 

7. 系统 弱点 


系统 弱点 指 的 是 系统 难以 克服 的 错误 或 缺陷 。 在 很 多 情况 下 ， 没 有 人 能 够 发 现 或 了 解 
这 种 隐 含 的 不 安全 因素 ， 脆 弱 性 往往 要 在 很 长 时 间 以 后 才能 明显 体现 出 来 。 从 这 个 角度 讲 
系统 安全 是 相对 的 。 计 算 机 的 系统 脆弱 性 主要 体现 在 以 下 几 个 方面 。 

(1) 通过 隐 星 手段 获得 的 相对 安全 。 通 常情 况 下 ， 我 们 会 对 计算 机 系统 的 安全 机 制 进 
行 保密 ， 但 人 们 通过 研究 ， 最 后 总 能 明白 它 是 如 何 工 作 的。 所 以 这 种 隐 星 的 安全 机 制 并 不 
能 从 根本 上 保证 系统 的 安全 。 

(2) 加 密 信息 已 经 被 公认 为 是 加 强 计 算 机 系统 安全 的 最 好 方法 ， 但 加 密 技术 本 身 也 存 
在 许多 的 缺陷 ， 如 密码 的 捷径 、 计 算 机 的 速度 、 随 机 密 钥 的 数量 等 。 这 些 缺 陷 会 使 加 密 的 
效果 并 不 绝对 安全 。 如 果 忽 视 其 脆弱 性 的 话 ， 造 成 的 后 果 可 能 会 是 灾难 性 的 。 

(3) 口令 安全 是 计算 机 安全 中 最 关键 的 问题 ， 无 论 哪 种 形式 的 安全 ， 最 终 都 趋向 于 依 
靠 某 种 形式 的 口令 。 但 实际 上 ， 大 量 存在 的 弱 口 令 和 静态 口令 非常 容易 被 破解 。 

(4) 人 们 通过 研究 发 现 ， 老 化 的 软 硬 件 会 影响 到 安全 问题 ， 这 是 任何 一 个 单元 部 件 都 
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存在 的 固有 缺陷 。 

8. 社会 工程 

社会 工程 是 通过 “ 非 技术 手段 ”对 目标 计算 机 系统 进行 攻击 的 一 种 方法 。 使 用 这 一 方 
法 的 很 可 能 是 单位 内 部 人 员 ， 其 形式 包括 蓄意 破坏 、 骗 取 进 入 计算 机 系统 的 途径 、 从 废弃 
物 中 寻找 有 用 的 信息 等 。 在 许多 情况 下 ， 通 过 社会 工程 直接 获取 信息 可 能 会 更 容易 些 ， 有 
时 ， 社 会 工程 可 能 是 获取 网 络 信息 的 唯一 方法 。 社 会 工程 方面 的 漏洞 包括 偷盗 、 内 部 间谍 、 
信息 猎取 、 蓄 意 破 坏 等 。 

9. 管理 策略 失误 


管理 策略 失误 是 指 计算 机 系统 的 日 常 管理 方面 和 应 急 措 施 方面 的 不 足 ， 例 如 不 充分 的 
软件 备份 等 。 管 理 策略 失误 并 不 一 定 会 导致 入 侵 事件 ， 但 是 ， 许 多 “天 灾 人 祸 ” 如 天 气 灾 
害 、 操 作 失 误 电 子 毁 坏 、 硬 件 故障 等 可 能 会 触发 这 类 脆弱 性 。 这 些 容易 失误 的 策略 一 般 有 
物理 安全 策略 、 数 据 安全 策略 、 人 员 安 全 策略 等 。 


1.1.3 网络 安 全 的 定义 


网 络 安全 是 指 网 络 系统 的 硬件 、 软 件 及 其 系统 中 的 数据 受到 保护 ， 不 会 因 偶然 或 恶意 
的 原因 而 遭 到 破坏 、 更 改 、 泄 露 等 。 网 络 安 全 是 一 个 涉及 计算 机 科学 、 网 络 技术 、 通 信 技 
术 、 密 码 技术 、 信 息 安全 技术 、 应 用 数学 、 数 论 和 信息 论 等 多 种 学 科 的 边缘 学 科 ， 如 图 1.3 


所 示 。 
操作 安全 
密码 安全 人 员 安 全 
v 
TEM >| 操作 安全 < | 计算 机 安全 
| 通信 安全 | 工业 安全 | 
物理 安全 


图 1.3 网 络 安全 的 组 成 


图 1.4 所 示 为 网 络 安全 模型 ， 这 种 通用 模型 指出 了 设计 特定 安全 服务 的 4 个 基本 任务 : 
包 设 计 执行 与 安全 性 相关 的 转换 算法 ， 该 算法 必须 使 对 手 不 能 通过 破坏 算法 以 实现 其 目的 ; 
@ 生 成 算法 使 用 的 保密 信息 ; @@ 开 发 分 发 和 共享 保密 信息 的 方法 ; @@ 指 定 两 个 主体 要 使 用 
的 协议 ， 并 利用 安全 算法 和 保密 信息 来 实现 特定 的 安全 服务 。 
计算 机 网 络 安全 包含 的 内 容 有 : 保护 系统 和 网 络 的 资源 免 遭 自然 或 人 为 的 破坏 ;明确 
网 络 系统 的 脆弱 性 和 最 容易 受到 影响 或 破坏 的 地 方 ; 对 计算 机 系统 和 网 络 的 各 种 威胁 有 充 
分 的 估计 ; 要 开发 并 实施 有 效 的 安全 策略 ， 尽 可 能 减少 可 能 面临 的 各 种 风险 ; 准备 适当 的 
应 急 计划 ， 使 网 络 系统 在 遭 到 破坏 或 攻击 后 能 够 尽快 恢复 正常 工作 ; 定期 检查 各 种 安全 管 
理 措施 的 实施 情况 与 有 效 性 。 
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图 1.4 网 络 安全 模型 


1.1.4 网 络 安全 的 基本 要 素 


计算 机 网 络 安全 的 基本 要 素 有 5 个 : 安全 性 、 完 整 性 、 保 密 性 、 可 用 性 和 不 可 抵赖 性 。 
下 面 就 对 这 5 个 要 素 逐 一 介绍 。 
1. 安全 性 


内 部 安全 用 来 对 用 户 进行 识别 和 认证 ， 防 止 非 授权 用 户 访问 系统 。 具 体 功能 如 下 。 

(1) 确保 系统 的 可 靠 性 ， 以 避免 软件 的 缺陷 (Bug) 成 为 系统 的 入 侵 点 。 

(2) 对 用 户 实施 访问 控制 ， 拒 绝 用 户 访问 超出 其 访问 权限 的 资源 。 

(3) 加 密 传输 和 存储 的 数据 ， 防 止 重要 信息 被 非法 用 户 拦截 或 修改 。 

(4) 对 用 户 的 行为 进行 实时 监控 和 统计 ， 检 查 其 是 否 对 系统 有 攻击 行为 ， 并 对 入 侵 的 
用 户 进行 跟踪 。 

外 部 安全 的 作用 如 下 。 

(1) 加 强 系 统 的 物理 安全 ， 防 止 其 他 用 户 直接 访问 系统 。 

(2) 保证 人 事 安全 ， 加 强 对 内 部 人 员 的 安全 教育 ， 防 止 用 户 (特别 是 内 部 用 户 ) 泄 密 。 


2. 完整 性 

完整 性 包括 软件 完整 性 和 数据 完整 性 。 解 决 的 问题 : 保护 计算 机 系统 内 的 软件 和 数据 
不 被 非法 删改 。 

3. 保密 性 

加 密 是 保护 存储 在 系统 中 的 数据 的 一 种 有 效 方 法 ， 人 们 通常 用 加 密 方法 来 保证 数据 的 
保密 性 。 解 决 的 问题 : 防止 用 户 非法 获取 关键 的 敏感 信息 ， 避 免 机 密 信息 的 泄露 。 

4. 可 用 性 

可 用 性 是 指 无 论 何 时 ， 只 要 用 户 需要 ， 系 统 和 网 络 资源 必须 是 可 用 的 ， 尤 其 是 当 计 算 
机 及 网 络 系 统 遭 到 非法 攻击 时 ， 它 必须 仍然 能 够 为 用 户 提供 正常 的 系统 功能 和 服务 。 为 了 
保证 系统 和 网 络 的 可 用 性 ， 必 须 解决 网 络 和 系统 中 存在 的 各 种 破坏 可 用 性 的 问题 。 
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5. 不 可 抵赖 性 


不 可 抵赖 性 也 称 作 不 可 否认 性 ， 在 网 络 信息 系统 的 信息 交互 过 程 中 ， 确 信 参 与 者 的 真 
实 操作 性 ， 即 所 有 参与 者 都 不 能 否认 或 抵赖 曾经 完成 的 操作 和 承诺 。 利 用 信息 源 证 据 可 以 
防止 发 信 方 不 真实 地 否认 已 发 送信 息 ， 利 用 递交 接收 证 据 可 以 防止 收 信 方 事 后 否认 已 经 接 
收 信息 。 

概括 起 来 讲 ， 网 络 信息 安 全 就 是 通过 计算 机 技术 、 通 信 技 术 、 密 码 技术 和 安全 技术 保 
护 在 公用 网 络 中 存储 、 交 换 和 传输 信息 的 可 靠 性 、 可 用 性 、 保 密 性 、 完 整 性 和 不 可 抵赖 性 
的 技术 。 

从 技术 角度 看 ， 网 络 安全 的 内 容 大 体 包 括 4 个 方面 。 

(1) 网 络 实体 安全 。 如 机 房 的 物理 条 件 、 物 理 环境 及 设施 的 安全 标准 ， 计 算 机 硬件 、 
附属 设备 及 网 络 传输 线路 的 安装 及 配置 等 。 

(2) 软件 安全 。 如 保护 网 络 系统 不 被 非法 侵入 ， 系 统 软件 与 应 用 软件 不 被 非法 复制 、 
自 改 ， 不 受 病毒 侵害 等 。 

(3) 网 络 数据 安全 。 如 保护 网 络 信息 的 数据 安全 不 被 非法 存 取 ， 保 护 其 完整 一 致 等 。 

(4) 网 络 安全 管理 。 这 通常 指 运行 时 对 突 发 事件 的 安全 处 理 ， 包 括 采 取 计 算 机 安全 技 
术 、 建 立 安全 管理 制度 、 开 展 安全 审计 、 进 行 风险 分 析 等 内 容 。 

由 此 可 见 ， 计 算 机 网 络 安全 不 仅 要 保护 计算 机 网 络 设备 安全 ， 还 要 保护 数据 安全 等 。 
其 特征 是 针对 计算 机 网 络 本 身 可 能 存在 的 安全 问题 ， 实 施 网 络 安全 保护 方案 ， 以 保证 计算 
机 网 络 自身 的 安全 性 。 


1.1.5 ”典型 的 网 络 安全 事件 


黑客 集团 Anonymous 有 人 印发 独 狐 之 势 ， 回顾 2011 年 ， 攻 击 事件 层出不穷 : 索尼 遭遇 到 
的 迄今 为 止 规 模 最 大 的 黑客 攻击 ，RSA 被 网 络 钓鱼 ;美国 花旗 银行 被 黑客 侵入 ， 北 美 地 区 
21 万 银行 卡 用 户 的 姓名 、 账 户 、 电 子 邮 箱 等 信息 遭 泄露 ，Facebook 被 黑 ， 暴 力 色情 图 片 泛 
滥 等 。 

1. 谷歌 Android 市 场 出 现 恶 意 软件 


2011 年 3 月 初 , Android 市 场 出 现 一 系列 的 恶意 应 用 软件 , 这 些 应 用 软件 可 窃取 用 户 数 
据 并 可 在 未 得 到 手机 主人 确认 许可 的 情况 下 “ 拨 出 ”电话 或 发 送 昂贵 的 短信 。 由 于 该 问题 
在 技术 上 没有 找到 好 的 解决 办 法 ，2011 年 3 月 4 日 ， 谷 歌 Android 官方 应 用 商店 不 得 不 宣 
布 将 56 款 包含 木马 的 手机 应 用 软件 下 架 。 虽 然 谷歌 已 经 从 Android 市 场 删除 了 有 问题 的 应 
用 软件 ， 但 公司 未 对 任何 已 经 被 下 载 的 恶意 软件 采取 “行动 ”。 而 用 户 实际 上 是 希望 谷歌 
能 远程 禁用 这 些 恶 意 应 用 软件 。 


2. 索尼 被 黑 ， 黑 客 借 网 络 入 侵 炫 炮 


自从 2011 年 4 月 PlayStation 网 络 入 侵 事件 导致 1 亿 多 个 用 户 账户 信息 被 泄露 以 来 , 索 
尼 共 遭 到 大 大 小 小 的 黑客 攻击 10 余 次 。 索 尼 影 视 (Sony Pictures)、 索 尼 欧 洲 (Sony Europe)、 
索尼 希腊 BMG 网 站 (Sony BMG Greece)、 索 尼 泰 国 (Sony Thailand)、 索 尼 日 本 音乐 (Sony 
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Music Japan)、 索 尼 爱 立信 加 拿 大 (Sony Ericson Canada) 等 ， 无 一 不 成 为 黑客 攻击 的 目标 。 最 
初 发 生 的 PlayStation 网 络 入 侵 事件 是 索尼 迄今 遭遇 到 的 规模 最 大 的 黑客 攻击 。 专 家 认为 ， 
索尼 之 所 以 遭遇 网 络 攻击 问题 ， 一 方面 是 因为 索尼 的 系统 缺乏 稳定 的 安全 性 ， 另 一 方面 是 
为 新 崛起 的 黑客 群体 更 乐意 炫 潜 他 们 入 侵 公司 防御 系统 的 能 力 。 

3. RSA 公布 被 攻击 内 幕 : 钓鱼 邮件 惹祸 


EMC 于 2011 年 3 月 中 旬 宣 布 , 旗下 安全 部 门 RSA 遭 到 黑客 攻击 。EMC 报告 称 ，RSA 
被 一 种 业内 称 为 高 持续 性 威胁 (Advance Persistent Threat) 的 复杂 网 络 攻击 ， 这 是 一 种 “极其 
复杂 ”的 攻击 ,会 导致 一 些 秘密 信息 从 RSA 的 Secur ID 双 因 素 认 证 (Two-Factor Authentication) 
产品 中 被 提取 出 来 。RSA 的 客户 包括 一 些 大 军事 机 构 、 政 府 、 各 种 银行 及 大 型 医疗 、 医 保 
设备 制造 商 。EMC 首席 安全 顾问 瑞 纳 称 ， 在 两 天 的 时 间 内 ， 公 司 一 部 分 普通 员工 收 到 了 一 
些 电 子 邮件 ， 这 些 邮件 带 有 一 个 名 为 “2011 年 招聘 计划 ”的 Excel 表格 附件 。 一 些 员工 打 
开 了 附件 ， 并 在 表格 空白 处 填写 了 内 容 ， 而 该 表格 包含 一 个 “ 零 日 漏洞 ”。 该 黑客 攻击 主 
要 是 利用 了 Adobe Flash 的 漏洞 ， 通 过 该 漏洞 ， 黑 客 可 在 目标 计算 机 上 安装 任何 程序 。 & 
客 选择 安装 的 是 “Poison Ivy RAT”， 这 是 一 个 远程 控制 程序 ， 黑 客 可 以 用 某 个 地 方 的 计算 
机 控制 另 一 个 地 方 的 另 一 台 计 算 机 。 通 过 远程 访问 目标 计算 机 ， 黑 客 获得 了 RSA 企业 网 络 
的 进一步 访问 权 ， 这 就 好 比 是 带 着 “ 面 单 ” 冒 充 RSA 员工 在 公司 内 部 搜索 万 能 密 铀 。 最 初 ， 
黑客 利用 被 入 侵 的 低级 别 账号 来 收集 登录 信息 ， 其 中 包括 用 户 名 、 密 码 和 域名 信息 等 。 之 
后 ， 黑 客 又 将 目标 瞄 向 拥有 更 多 访问 权 的 高 级 账号 ， 一 旦 成 功 ， 他 们 就 可 以 从 RSA 网 络 系 
统 中 收集 任何 需要 的 信息 ， 之 后 打包 并 通过 FTP 下 载 。 


4. 美国 花旗 银行 遭 黑 ， 促 银行 业 安 全 体系 大 修 


2011 年 6 月 8 日， 美国 花旗 银行 证 实 ， 该 银行 系统 被 黑客 侵入 ，21 万 北美 地 区 银行 卡 
用 户 的 姓名 、 账 户 、 电 子 邮 箱 等 信息 可 能 被 泄露 。 花 旗 银 行 的 一 位 发 言 人 说 : 监管 人 员 在 
对 银行 系统 进行 例 行 检查 时 发 现 ， 不 明 黑 客 侵入 银行 系统 ， 盗 取 了 大 批 信用 卡 持 有 者 的 信 
息 。 据 估计 ， 约 1% 的 信用 卡 持 有 者 受到 入 侵 事件 的 影响 。 这 位 发 言 人 说 ， 被 盗 取 的 信息 包 
括 用 户 的 姓名 、 账 号 以 及 电子 邮箱 地 址 等 联系 方式 ， 但 用 户 的 出 生日 期 、 社 会 安全 号 、 信 
用 卡 过 期 日 及 安全 密码 等 信息 没有 被 盗 取 。 这 位 发 言 人 当时 说 : “银行 正在 联系 受 影响 的 
客户 ， 并 加 强 了 安全 保护 措施 。” 尽 管 花旗 坚 称 此 次 攻击 造成 的 破坏 有 限 ， 但 专家 们 还 是 
将 此 事件 称 为 美国 大 型 金融 机 构 有 史 以 来 遭受 的 最 严重 的 直接 攻击 ， 并 表示 这 次 事件 或 将 
促成 银行 业 数 据 安全 体系 的 彻底 大 修 。 


5. IMF 数据 库 遭 “黑客 ”攻击 


国际 货币 基金 组 织 (IMF) 连 遭 打击 。 继 前 总 裁 多 米 尼克 。 斯 特 劳 斯 * 卡 恩 因 强 奸 罪 被 指 
控 贸 销 入 狱 之 后 ，IMF 又 爆 出 内 部 网 络 系统 遭 黑 客 袭 击 的 消息 。 英 国 《 每 日 邮 报 》 称 ， 这 
是 一 起 “经 过 精心 策划 的 严重 攻击 ” 作为 目前 国际 社会 应 对 金融 危机 努力 中 的 领导 者 , IMF 
掌握 着 关于 各 国 财政 情况 的 绝密 信息 ， 以 及 各 国 领导 人 就 国际 救市 计划 进行 的 秘密 协商 的 
有 关 材 料 ， 一 旦 这 些 内 容 泄 露 ， 不 仅 将 对 世界 经 济 复苏 造成 严重 的 负面 影响 ， 更 有 可 能 引 
发 一 些 国家 的 政治 动荡 。 美 国 《纽约 时 报 》 消 息 称 ， 此 次 事件 可 能 只 是 黑客 在 试验 被 入 侵 
系统 的 性 能 。 也 有 人 认为 国际 货币 基金 组 织 此 次 遭 袭 是 一 起 “网 络 钓鱼 ”事件 ， 该 组 织 的 


渴 出 
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某 位 工作 人 员 可 能 在 不 知情 的 情况 下 误 点 击 了 某 个 不 安全 的 链接 ， 或 者 运行 了 某 个 使 黑客 
得 以 入 侵 的 软件 。 大 多 数 被 黑客 攻击 的 组 织 或 机 构 都 不 愿意 透露 过 多 的 信息 ， 因 为 它们 担 
心 这 样 做 只 会 带 来 更 多 的 入 侵 。 

6. Facebook 被 黑 ， 暴 力 色情 图 片 泛滥 


2011 年 11 月 15 日, 社交 网 站 Facebook 遭 到 了 黑客 攻击 ， 部 分 用 户 抱 怨 在 其 个 人 资料 
页 面 中 目睹 了 大 量 色情 和 暴力 图 片 。 有 人 认为 ， 这 是 黑客 组 织 Anonymous 所 为 。 该 社交 网 
络 的 有 些 用 户 反映 ， 一 些 暴力 或 色情 的 图 片 在 未 经 他 们 许可 的 情况 下 就 出 现在 了 他 们 的 新 
闻 动 态 信息 中 ; 还 有 些 用 户 则 被 告知 ， 他 们 的 Facebook 好 友 正 在 发 送 点 击 链接 或 视频 的 请 
求 。 这 类 似 于 我 们 以 前 在 Facebook 上 见 过 的 那 类 垃圾 信息 。 不 同 的 是 ， 它 来 得 要 迅 狐 得 多 ， 
似乎 是 提前 计划 好 的 。 有 媒体 称 ， 这 些 垃圾 信息 中 的 链接 并 不 是 要 将 用 户 带 到 别 的 什么 地 
方 ， 而 是 为 了 “侵入 用 户 的 账户 ， 并 向 该 用 户 的 所 有 好 友 发 送 类 似 的 垃圾 信息 ”。 在 Twitter 
上 搜索 “Facebook 色情 ”可 以 发 现 ， 这 两 个 社交 网 络 的 用 户 对 此 发 出 了 很 多 抱怨 之 声 。 
Facebook 用 户 抱怨 色情 、 暴 力图 片 泛滥 ，Twitter 用 户 则 抱怨 没有 看 到 这 些 内 容 。 


7. CSDN 密码 泄露 ， 超 1 亿 用 户 密码 被 汇 


CSDN 密码 泄露 堪 称 中 国 互 联网 史上 最 大 的 泄密 事件 ， 其 影响 还 在 不 断 扩 大 ， 2011 年 
12 月 21 日 , 有 黑客 在 网 上 公开 CSDN 网 站 的 用 户 数据 库 ， 导 致 600 余 万 个 注册 邮箱 账号 条 
与 之 对 应 的 明文 密码 ( 即 用 户 密码 什么 样 ， 网 站 数据 库 就 存 成 什么 样 ) 泄 露 ，22 日 ， 人 人 网 、 
天 涯 、 开 心 网 、 多 玩 、 志 纪 佳 缘 、 珍 爱 网 、 美 空 网 、 百 合 网 、178、7K7K 等 知名 网 站 的 用 
户 称 密码 遭 网 上 公开 。 据 统计 ， 该 事件 公开 暴露 的 网 络 账户 密码 超过 1 亿 个 。“ 泄 密 门 ” 
的 爆 出 使 原来 潜伏 在 水 面 之 下 的 互联 网 信息 安全 问题 成 为 公众 关注 的 焦点 。 尽 管 在 此 之 前 ， 
网 站 密码 库 的 泄露 在 技术 圈 内 早 己 是 公开 的 秘密 ， 但 一 般 民 众 并 不 知晓 ， 而 相关 网 站 为 了 
维护 商 誉 与 商业 利益 ， 也 不 会 主动 坦诚 自己 曾经 遭遇 黑客 攻击 。 因此， 从 敲 响 网 络 安全 警钟 
的 角度 讲 ，“ 泄 密 门 ” 的 爆 出 ， 对 中 国 互联 网 的 发 展 并 非 全 是 害处 。 


“SY 1.2 信息 安全 的 发 展 历 程 


信息 安全 概念 的 出 现 远 远 早 于 计算 机 的 诞生 ,但 计算 机 的 出 现 ， 尤 其 是 网 络 出 现 以 后 ， 
信息 安全 变 得 更 加 复杂 ， 更 加 “隐形 ”了 。 现 代 信息 安全 区 别 于 传统 意义 上 的 信息 介质 安 
全 ， 是 专 指 电 子 信息 的 安全 。 

随 着 IT 技术 的 发 展 ， 各 种 信息 的 电子 化 更 加 便于 信息 获取 、 携 带 与 传输 。 相 对 于 传统 
的 信息 安全 保障 ， 现 代 信息 安全 需要 更 加 有 力 的 技术 保障 ， 而 不 单单 是 对 接触 信息 的 人 和 
信息 本 身 进 行 管理 ， 介 质 本 身 的 形态 已 经 从 “有 形 ”转变 到 “无 形 ”。 在 以 计算 机 网 络 为 
支撑 的 业务 系统 中 ， 正 常 业务 的 处 理 人 员 都 有 可 能 接触 、 获 取 这 些 信 息 ， 信 息 的 流动 是 隐 
性 的 ， 对 业务 流程 的 控制 就 成 了 保障 涉 密 信息 的 重要 环节 。 

从 信息 安全 的 发 展 历程 来 看 ， 安 全 保障 的 理念 分 为 下 面 几 个 阶段 。 

1. 面 对 信 息 的 安全 保障 


计算 机 网 络 刚刚 兴起 时 ， 各 种 信息 陆续 电子 化 ， 各 个 业务 系统 相对 比较 独立 ， 需 要 交 
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换 信 息 时 往往 是 通过 构造 特定 格式 的 数据 交换 区 或 文件 形式 来 实现 ， 这 个 阶段 从 计算 机 诞 


生 一 直 延 续 到 互联 网 兴起 的 20 世纪 90 年 代 末期 。 


嵌 


面 对 信息 的 安全 保障 ， 体 现在 对 信息 的 产生 、 传 输 、 存 储 、 使 用 过 程 中 的 保障 ， 主 要 
的 技术 是 信息 加 密 ， 即 保障 信息 不 外 露 在 “光天化日 ”之 下 。 因 此 ， 信 息 安全 保障 设计 的 
理念 是 以 风险 分 析 为 前 提 ( 如 ISO13335 风险 分 析 模 型 )， 找 到 系统 中 的 “漏洞 ”， 分 析 漏 洞 


可 能 带 来 的 威胁 ， 评 估 “ 堵 上 ”漏洞 的 成 本 ， 再 “合理 ”地 “ 堵 上 ”漏洞 ， 威 胁 也 就 消失 了 。 

然而 风险 的 大 小 、 漏 洞 的 危害 程度 是 随 着 攻击 技术 的 发 展 而 变化 的 ， 在 大 刀 长 矛 的 冷 
兵器 时 代 ， 敌 人 在 几 十 米 外 你 就 是 安全 的 ; 到 了 大 炮 、 机 枪 的 火器 年 代 ， 几 百 米 、 几 十 干 
米 都 可 能 成 为 攻击 的 对 象 ， 而 到 了 激光 、 导 弹 的 现代 ， 即 使 你 在 地 球 的 另 一 端 ， 也 可 能 随 
时 成 为 被 攻击 的 对 象 。 所 以 面向 信息 的 安全 ， 分 析 漏 洞 往往 是 随 着 攻击 技术 发 展 、 入 侵 技 
术 的 进步 而 变化 的 ， 一 句 话 ， 就 是 被 动 地 跟着 攻击 者 的 步调 ， 建 立 自己 的 防御 体系 ， 是 被 
动 的 防护 。 更 为 严峻 的 是 : 随 着 攻击 技术 的 发 展 ， 你 与 “敌人 ”的 “安全 距离 ” 越 来 越 大 ， 


这 就 需要 你 具有 更 强大 的 监控 力 ， 因 为 监控 不 到 敌人 的 动向 ， 安 全 就 无 从 谈 起 


o 


在 信息 安全 的 阶段 ， 安 全 技术 一 般 采 用 防护 技术 加 上 人 员 的 安全 管理 ， 出 现 得 最 多 的 
是 防火 墙 、 加 密 机 等 ， 但 大 多 边界 上 的 防护 技术 都 属于 识别 攻击 特征 的 “后 升级 ”防护 方 
式 ， 也 就 是 说 ， 你 在 攻击 者 来 之 前 升级 了 ， 就 可 以 防止 他 的 入 侵 ， 若 没有 来 得 及 升级 ， 或 
者 没有 可 升级 的 “补丁 ”， 你 的 系统 就 危险 了 。 加 密 技术 的 暴力 破解 技术 也 随 着 计算 机 的 


发 展 而 发 展 ， 加 密 系统 的 密 钥 长 度 也 越 来 越 长 。 
2. 面向 业务 的 安全 保障 


如 果 说 对 信息 的 保护 主要 还 是 从 传统 安全 理念 到 信息 化 安全 理念 的 转变 ， 那 么 面 对 业 
务 的 安全 ， 就 完全 是 从 信息 化 的 角度 考虑 信息 的 安全 。 到 2005 年 ， 互 联网 已 经 深入 到 社会 
的 各 个 角落 ， 网 络 成 了 人 们 工作 与 生活 的 “信息 神经 ”， 人 们 发 现 各 种 工作 已 经 从 传统 的 
管理 模式 ， 进 入 到 了 “无 纸 化 ”的 办 公 时 代 ， 此 时 计算 机 的 故障 、 网 络 的 中 断 已 经 不 再 是 
IT 管理 部 门 的 小 事件 ， 往 往 是 整个 企业 的 大 故障 ， 有 些 金融 、 物 流 、 交 通 等 企业 ， 网 络 的 


故障 完全 可 以 导致 企业 业务 的 中 断 ， 甚 至 导致 企业 的 停业 。 
此 时 ， 需 要 保护 的 信息 不 再 只 是 某 些 文件 ， 或 者 某 些 特殊 权限 目录 的 管理 


E， 而 是 月 


有 户 


的 访问 控制 、 系 统 服 务 的 提供 方式 ， 也 不 再 只 是 信息 ， 而 是 整个 业务 系统 ， 以 及 业务 的 IT 
支撑 环境 。 业 务 本 身 的 安全 需求 ， 超 过 了 信息 的 安全 需求 ， 安 全 保障 自然 也 就 需要 从 业务 


流程 的 控制 角度 考虑 了 ， 这 个 阶段 我 们 称 为 面向 业务 的 安全 保障 。 


系统 性 的 安全 保障 理念 不 仅 是 关注 系统 的 漏洞 ， 而 且 从 业务 的 生命 周期 入 手 ， 对 业务 
流程 进行 分 析 ， 找 出 流程 中 的 关键 控制 点 ， 从 安全 事件 出 现 的 前 、 中 、 后 三 个 阶段 进行 安 
全 保障 。 具 体 的 保障 设计 一 一 “花瓶 模型 ”给 了 我 们 一 个 清晰 的 设计 框架 ， 把 安全 保障 分 
为 防护 技术 、 监 控 手 段 和 审计 威慑 三 个 部 分 ， 其 中 防护 技术 沿用 信息 安全 的 防护 理念 ， 
时 针对 “防护 总 落后 于 攻击 ”的 现状 ， 全面 实施 系统 监控 ， 对 系统 内 各 个 角落 的 情况 动态 
攻击 没有 了 
“战果 ”， 也 就 达到 了 防护 的 目的 ， 另 外 ， 针 对 网 络 事 件 的 起 因 多 数 是 内 部 人 员 ， 采 用 审 


收集 并 掌握 ， 任 何 的 “风吹草动 ”都 及 时 察觉 ， 即 使 有 危害 也 降 到 最 小 程度 ， 


计 技 术 是 震慑 不 法 分 子 的 恶意 滋生 的 “武器 ”。 


同 


可 向 业务 的 安全 保障 不 只 是 建立 防护 屏障 ， 而 是 建立 一 个 立体 的 “陆海空 ”防护 体系 ， 


计算 机 网 络 安全 技术 加 


通过 更 多 的 技术 手段 把 安全 管理 与 技术 防护 联系 起 来 ， 不 再 被 动 地 保护 自己 ， 而 是 主动 地 
防御 攻击 ， 也 就 是 说 ， 面 向 业务 的 安全 保障 已 经 从 被 动 走向 主动 ， 安 全 保障 理念 从 风险 承 
受 模式 走向 安全 保镖 模式 。 


3. 面向 服务 的 安全 保障 


随 着 网 络 上 业务 系统 越 来 越 多 ， 各 个 业务 系统 的 边界 逐渐 模糊 ， 系 统 间 需 要 相互 融合 ， 
数据 需要 互通 交换 ， 若 能 把 多 个 业务 系统 的 开发 与 运营 统一 到 一 个 管理 平台 上 来 ， 不 仅 方 
便 新 业务 的 开发 ， 而 且 可 以 缓解 日 益 严重 的 运营 维护 危机 ， 此 时 Web 2.0 技术 出 现 了 ， 它 不 
仅 继 承 了 客户 端 维护 的 B/S 架构 ， 而 且 可 以 以 方便 交互 的 方式 促使 业务 模式 的 开发 ， 很 多 
软件 公司 把 它 作为 SOA( 面 向 服务 的 架构 ) 的 实现 基础 。 

SOA 是 一 个 面向 业务 用 户 角度 的 开发 构架 , 面向 服务 就 是 从 最 终 用 户 的 角度 看 待业 务 ， 
IT 部 门 就 是 提供 这 种 服务 来 支撑 用 户 的 各 种 业务 流程 实现 。Web 2.0 是 支撑 其 实现 的 一 个 技 
术 ， 而 SOA 的 真正 意图 是 “生产 ”出 业务 实现 的 各 种 标准 构件 一 一 方便 的 “软件 积木 ”， 
在 实现 新 业务 时 ， 只 要 利用 “积木 ”重新 构造 一 下 就 可 以 了 。 这 不 仅 可 以 大 大 降低 开发 的 
工作 量 ， 也 大 大 提高 了 开发 的 效率 ， 提 高 了 企业 的 敏捷 性 。 

业务 中 的 “流程 片段 ”， 或 者 是 流程 组 件 打包 ， 实 现 软件 开发 不 再 是 专业 软件 人 员 的 
工作 ， 而 是 业务 使 用 人 员 的 “自助 式 组 装 ”， 实 现 软件 开发 的 DIY(Do It Yourselb。 所 以 说 ， 
SOA 思想 是 软件 业 真正 把 软件 推广 为 “全 民 化 ”的 梦想 。 

软件 开发 的 模式 改变 了 ， 对 业务 流程 的 分 析 方式 也 就 不 同 了 ， 因 为 “流程 片段 ”对 于 
使 用 者 来 说 是 “组 件 积木 ”， 也 就 是 只 关心 其 外 部 功能 的 “黑箱 ”， 安 全 保障 不 仅 是 组 件 
间 的 环节 控制 ， 对 组 件 本 身 的 安全 同样 需要 。 对 单个 业务 的 安全 保障 需求 演变 为 对 多 个 业 
务 交叉 系统 的 综合 安全 需求 ，IT 基础 设施 与 业务 之 间 的 耦合 程度 逐渐 降低 ， 安 全 也 分 解 为 
若干 单元 ， 安 全 不 再 面 对 业 务 本 身 ， 而 是 面 对 使 用 业务 的 客户 ， 有 具体 地 说 就 是 用 户 在 使 用 
IT 平台 承载 业务 的 时 候 ， 涉 及 该 业务 安全 保障 ， 由 此 ， 安 全 保障 也 从 面向 业务 发 展 到 面向 
服务 。 
面向 服务 的 安全 保障 还 有 一 层 含义 ， 随 着 业务 的 增多 ，IT 支撑 平台 成 为 公共 的 技术 设 
施 ， 安 全 的 保障 也 分 为 公共 网 络 的 基础 安全 与 业务 本 身 的 控制 安全 ， 而 这 两 种 安全 需要 有 
机 结合 ， 最 终 都 是 为 了 一 个 目标 ， 就 是 为 客户 提供 安全 、 可 靠 的 业务 服务 。 


等 ，1.3 ”网 络 安全 所 涉及 的 内 容 


计算 机 网 络 安全 包括 很 多 方面 ， 从 网 络 的 管理 到 数据 的 安全 以 及 传输 的 安全 等 ， 主 要 
有 以 下 三 个 方面 。 


1. 物理 网 络 的 安全 性 


物理 网 络 的 安全 性 是 指 网 络 中 的 各 种 设备 和 通信 线路 的 安全 ， 包 括 防 火 、 防 盗 、 防 静 
电 、 防 雷击 、 防 电磁 泄漏 等 。 
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2. 网 络 管理 的 安全 性 

网 络 管理 的 安全 性 包括 个 人 行为 ， 比 如 使 用 不 当 ， 安 全 意识 差 等 ， 局 域 网 安全 ， 远 程 
访问 管理 ， 内 部 泄露 ;外 部 泄露 ; 信息 丢失 ; 防范 黑客 等 行为 。 

3. 实施 网 络 安全 的 技术 


(D 攻击 技术 ， 包 括 网 络 扫描 、 网 络 监听 、 网 络 入 侵 等 。 
(2) 防御 技术 ， 包 括 操作 系统 安全 配置 技术 、 加 密 技术 、 防 火 墙 技术 、 入 侵 技术 等 。 


舍 ，1.4 ”网络 安 全 防护 体系 


1.4.1 网 络 安全 的 威胁 


随 着 Internet 的 飞速 发 展 及 网 络 应 用 的 扩大 ， 网 络 安全 风险 也 变 得 非常 严重 和 复杂 。 原 
先 由 单机 安全 事故 引起 的 故障 通过 网 络 传 给 其 他 系统 和 主机 ， 可 造成 大 范围 的 瘫 病 ， 再 加 
上 安全 机 制 的 缺乏 和 防护 意识 不 强 ， 网 络 风 险 日 益 加 重 。 

安全 威胁 是 指 某 个 人 、 物 、 事 件 或 概念 对 某 一 资源 的 机 密 性 、 完 整 性 、 可 用 性 或 合法 
性 所 造成 的 危害 。 某 种 攻击 就 是 某 种 威胁 的 具体 实现 。 安 全 威胁 可 分 为 故意 的 (如 黑客 渗透 ) 
和 偶然 的 (如 信息 被 发 往 错误 的 地 址 ) 两 类 。 故 意 威胁 又 可 进一步 分 为 被 动 和 主动 两 类 。 安 全 
攻击 是 指 对 于 计算 机 或 网 络 安全 性 的 攻击 ， 最 好 通过 在 提供 信息 时 查看 计算 机 系统 的 功能 
来 记录 其 特性 。 图 1.5 所 示 为 当 信息 从 信 源 向 信 宿 流动 时 信息 正常 流动 和 受到 各 种 类 型 的 攻 
击 的 情况 。 


信 源 信和 宿 
(a) 正 常 流动 


(d) 修 改 


图 1.5 安全 攻击 
1. 网 络 安全 的 威胁 因素 
归纳 起 来 ， 针 对 网 络 安全 的 威胁 因素 主要 有 以 下 几 种 。 


计算 机 网 络 安全 技术 四 


(1) 软件 漏洞 。 每 一 个 操作 系统 或 网 络 软件 的 出 现 都 不 可 能 是 无 缺陷 、 无 漏洞 的 。 这 
就 使 计算 机 处 于 危险 的 境地 ， 一 旦 连接 入 网 ， 将 成 为 众矢之的 。 

(2) 配置 不 当 。 安 全 配置 不 当 造 成 安全 漏洞 。 例 如 ， 防 火 墙 软件 的 配置 不 正确 ， 使 得 
它 根本 不 起 作用 。 对 特定 的 网 络 应 用 程序 ， 当 它 启 动 时 ， 就 打开 了 一 系列 的 安全 缺口 ， 许 
多 与 该 软件 捆绑 在 一 起 的 应 用 软件 也 会 被 启用 。 除 非 用 户 禁止 该 程序 或 对 其 进行 正确 配置 ， 
否则 ， 安 全 隐患 始终 存在 。 

(3) 安全 意识 不 强 。 用 户口 令 选择 不 慎 ， 或 将 自己 的 账号 随意 转借 他 人 ， 或 与 别人 共 
享 等 都 会 给 网 络 安全 带 来 威胁 。 

(4) 病毒 。 目 前 数据 安全 的 头号 大 敌 是 计算 机 病毒 。 计 算 机 病毒 是 编制 者 在 计算 机 程 
序 中 插入 的 破坏 计算 机 功能 或 数据 ， 影 响 计算 机 软件 、 硬 件 的 正常 运行 ， 并 且 能 够 自我 复 
制 的 一 组 计算 机 指令 或 程序 代码 。 计 算 机 病毒 具有 传染 性 、 寄 生性 、 隐 项 性 、 触 发 性 、 破 
坏 性 等 特点 。 因 此 ， 提 高 对 病毒 的 防范 刻不容缓 。 

(5) 黑客 。 对 于 计算 机 数据 安全 构成 威胁 的 另 一 个 方面 是 来 自 计算 机 黑客 (HackeD。 计 
算 机 黑客 利用 系统 中 的 安全 漏洞 非法 进入 他 人 计算 机 系统 ， 其 危害 性 非常 大 。 从 某 种 意义 
上 讲 ， 黑 客 对 信息 安全 的 危害 甚至 比 一 般 的 计算 机 病毒 更 为 严重 。 

计算 机 网 络 上 的 通信 面临 的 威胁 主要 包括 以 下 4 个 方面 。@ 截 获 : 攻击 者 从 网 络 上 窃 
听信 息 。@@ 中 断 : 攻击 者 有 意 中 断 网 络 上 的 通信 。@@ 算 改 : 攻击 者 有 意 更 改 网 络 上 的 信息 。 
@ 伪 造 ， 攻 击 者 使 假 的 信息 在 网 络 上 传输 。 


2. 几 种 常用 的 网 络 安全 技术 


1) 防火墙 技术 

防火 墙 (Fire Wall) 技 术 是 指 网 络 之 间 通 过 预定 义 的 安全 策略 ， 对 内 外 网 通信 强制 实施 访 
问 控制 的 安全 应 用 措施 。 它 对 两 个 或 多 个 网 络 之 间 传 输 的 数据 包 按照 一 定 的 安全 策略 来 实 
施 检查 ， 以 确定 网 络 之 间 的 通信 是 否 被 允许 ， 并 监视 网 络 运行 状态 。 由 于 它 简单 实用 且 透 
明度 高 ， 可 以 在 不 修改 诛 有 网 络 应 用 系统 的 情况 下 达到 一 定 的 安全 要 求 ， 因 此 被 广泛 使 用 。 

目前 ,市 场 上 防火 墙 产 品 很 多 ， 一 些 厂商 还 把 防火 墙 技 术 并 入 其 硬件 产品 中 ， 即 在 其 
硬件 产品 中 采取 功能 更 加 先进 的 安全 防范 机 制 。 可 以 预见 防火 墙 技术 作为 一 种 简单 实用 的 
网 络 信息 安全 技术 将 得 到 进一步 发 展 。 然 而 ， 防 火 墙 也 并 非 人 们 想象 的 那样 可 靠 。 在 过 去 
的 统计 中 曾 遭 受过 黑客 入 侵 的 网 络 用 户 有 三 分 之 一 是 有 防火 墙 保护 的 ， 也 就 是 说 要 保证 网 
络 信息 的 安全 还 必须 有 其 他 一 系列 措施 ， 例 如 对 数据 进行 加 密 处 理 。 需 要 说 明 的 是 ， 防 火 
墙 只 能 抵御 来 自 外 部 网 络 的 侵扰 ， 而 对 来 自 企 业内 部 网 络 的 破坏 却 无 能 为 力 。 要 保证 企业 
内 部 网 的 安全 ， 还 需 通过 对 内 部 网 络 的 有 效 控制 和 管理 来 实现 。 

2) ”数据 加 密 技术 

数据 加 密 技术 就 是 对 信息 进行 重新 编码 ， 从 而 隐藏 信息 内 容 ， 使 非法 用 户 无 法 获取 信 
息 真实 内 容 的 一 种 技术 手段 。 数 据 加 密 技术 是 为 提高 信息 系统 及 数据 的 安全 性 和 保密 性 ， 
防止 秘密 数据 被 外 部 破坏 所 采用 的 主要 手段 之 一 。 

数据 加 密 技 术 按 作用 不 同 可 分 为 数据 存储 、 数 据 传输 、 数 据 完整 性 的 鉴别 和 密 钥 管理 
技术 4 种 。 数 据 存储 加 密 技 术 是 以 防止 在 存储 环节 上 的 数据 失 密 为 目的 ， 可 分 为 密 文 存储 
和 存 取 控制 两 种 。 数 据 传输 加 密 技术 的 目的 是 对 传输 中 的 数据 流 加 密 ， 常 用 的 有 线路 加 密 
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和 端口 加 密 两 种 方法 。 数 据 完整 性 鉴别 技术 的 目的 是 对 介入 信息 的 传送 、 存 取 、 处 理 人 员 
的 身份 和 相关 数据 内 容 进行 验证 ， 达 到 保密 的 要 求 ， 系 统 通过 对 比 验证 对 象 输入 的 特征 值 
是 否 符合 预先 设 定 的 参数 ， 实 现 对 数据 的 安全 保护 。 数 据 加 密 在 许多 场合 集中 表现 为 密 钥 
的 应 用 ， 密 钥 管 理 技术 事实 上 是 为 了 数据 使 用 方便 。 密 钥 的 管理 技术 包括 密 钥 的 产生 、 分 
配 保存 、 更 换 与 销毁 等 各 环节 上 的 保密 措施 。 

数据 加 密 技术 主要 是 通过 对 网 络 数据 的 加 密 来 保障 网 络 的 安全 可 靠 性 ， 能 够 有 效 地 防 
止 机 密 信息 的 泄露 。 另 外 ， 它 也 广泛 地 被 应 用 于 信息 鉴别 、 数 字 签名 等 技术 中 ， 用 来 防止 
电子 欺诈 ， 这 对 信息 处 理 系统 的 安全 起 到 极其 重要 的 作用 。 

3) ”系统 容 灾 技术 

一 个 完整 的 网 络 安全 体系 ， 只 有 防范 和 检测 措施 是 不 够 的 ， 还 必须 具有 灾难 容忍 和 系 
统 恢复 能 力 。 因 为 任何 一 种 网 络 安全 设施 都 不 可 能 做 到 万 无 一 失 ， 一 旦 发 生 漏 防 漏 检 事 件 ， 
其 后 果 将 是 灾难 性 的 。 此 外 ， 天 灾 人 祸 、 不 可 抗力 等 所 导致 的 事故 也 会 对 信息 系统 造成 毁 
灭 性 的 破坏 。 这 就 要 求 即使 发 生 系统 灾难 ， 也 要 快速 地 恢复 系统 和 数据 ， 这 样 才能 完整 地 
保护 网 络 信息 系统 的 安全 。 现 阶段 主要 有 基于 数据 备份 和 基于 系统 容错 的 系统 容 灾 技 术 。 
数据 备份 是 数据 保护 的 最 后 屏障 ， 不 允许 有 任何 闪失 。 但 离线 介质 不 能 保证 安全 。 数 据 容 
灾 通 过 IP 容 灾 技 术 来 保证 数据 的 安全 。 数 据 容 灾 使 用 两 个 存储 器 ， 在 两 者 之 间 建 立 复制 关 
系 ， 一 个 放 在 本 地 ， 另 一 个 放 在 异地 。 本 地 存储 器 供 本 地 备份 系统 使 用 ， 异 地 容 灾 备份 存 
储 器 实时 复制 本 地 备份 存储 器 的 关键 数据 。 二 者 通过 IP 相连 ， 构 成 完整 的 数据 容 灾 系统 ， 
也 能 提供 数据 库容 灾 功 能 。 

集群 技术 是 一 种 系统 级 的 系统 容错 技术 ， 通 过 对 系统 的 整体 元 余 和 容错 来 解决 系统 任 
何 部 件 失效 而 引起 的 系统 死机 和 不 可 用 问题 。 集 群 系统 可 以 采用 双 机 热 备份 、 本 地 集群 网 
络 和 异地 集群 网 络 等 多 种 形式 实现 ， 分 别提 供 不 同 的 系统 可 用 性 和 容 灾 性 。 其 中 异地 集群 
网 络 的 容 灾 性 是 最 好 的 。 存 储 、 备 份 和 容 灾 技术 的 充分 结合 ， 构 成 的 数据 存储 系统 ， 是 数 
据 技 术 发 展 的 重要 阶段 。 随 着 存储 网 络 化 时 代 的 来 临 ， 传 统 功能 单一 的 存储 器 ， 将 逐渐 让 
位 于 一 体 化 的 多 功能 网 络 存储 器 。 

4) “漏洞 扫描 技术 

漏洞 扫描 是 自动 检测 远 端 或 本 地 主机 安全 的 技术 ， 它 查询 TCP/IP 各 种 服务 的 端口 ， 并 
记录 目标 主机 的 响应 ， 收 集 关 于 某 些 特定 项 目的 有 用 信息 。 这 项 技术 就 是 通过 安全 扫描 程 
序 来 具体 实现 的 。 

安全 扫描 程序 可 以 在 很 短 的 时 间 内 查 出 现存 的 安全 脆弱 点 。 开 发 者 利用 已 得 到 的 攻击 
方法 ， 建 立 数据 库 并 模拟 攻击 方式 进行 扫描 ， 扫 描 后 以 统计 攻击 成 功 的 次 数 及 所 对 应 的 脆 
弱点 ， 便 于 参考 和 分 析 。 

5) ”物理 安全 

为 了 保证 信息 网 络 系统 的 物理 安全 ， 还 要 防止 系统 信息 在 空间 的 扩散 。 通 常 是 在 物理 
上 采取 一 定 的 防护 措施 ， 来 减少 或 干扰 扩散 出 去 的 空间 信号 。 为 保证 网 络 的 正常 运行 ， 在 
物理 安全 方面 应 采取 如 下 措施 。Q@ 产 品 保障 方面 ， 主 要 指 产 品 采 购 、 运 输 、 安 装 等 方面 的 
安全 措施 。@ 运 行 安全 方面 : 网 络 中 的 设备 ， 特 别 是 安全 类 产品 在 使 用 过 程 中 ， 必 须 能 够 
从 生产 厂家 或 供 货 单位 得 到 迅速 的 技术 支持 服务 。 对 一 些 关 键 的 设备 和 系统 ， 应 设置 备份 
系统 。@ 防 电磁 辐射 方面 所 有 重要 涉 密 的 设备 都 须 安装 防 电磁 辐射 产品 ， 如 辐射 干扰 机 。 
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由 保安 方面 : 主要 是 防盗 、 防 火 等 ， 还 包括 网 络 系统 中 所 有 网 络 设备 、 计 算 机 、 安 全 设备 
的 安全 防护 。 网 络 安全 孕育 着 无 限 的 机 遇 和 挑战 ， 作 为 一 个 热门 的 研究 领域 ， 网 络 安全 拥 
有 重要 的 战略 意义 ， 相 信 未 来 的 网 络 安全 技术 将 会 有 更 加 长 足 的 发 展 。 


1.4.2 ”网 络 安全 策略 


网 络 安全 策略 是 指 网 络 安全 防范 和 保护 的 主要 策略 ， 它 的 主要 任务 是 保证 网 络 资源 不 
被 非法 使 用 和 访问 。 它 是 维护 网 络 系统 安全 、 保 护 网 络 资源 的 重要 手段 。 


1. 安全 策略 的 分 类 


1) ”物理 安全 策略 

物理 安全 策略 的 目的 是 : 保护 计算 机 系统 、 网 络 服务 器 、 打 印 机 等 硬件 实体 和 通信 和 链 
路 免 受 自 然 灾 害 、 人 为 破坏 和 搭 线 攻击 ; 验证 用 户 的 身份 和 使 用 权限 、 防 止 用 户 越权 操作 ; 
确保 计算 机 系统 有 一 个 良好 的 电磁 兼容 工作 环境 ， 建 立 完备 的 安全 管理 制度 ， 防 止 非法 进 
入 计算 机 控制 室 和 各 种 偷窃 、 破 坏 活 动 的 发 生 。 

抑制 和 防止 电磁 泄漏 ( 即 TEMPEST 技术 ) 是 物理 安全 策略 的 一 个 主要 问题 。 目 前 主要 防 
护 措施 有 两 类 : 一 类 是 对 传导 发 射 的 防护 ， 主 要 措施 是 对 电源 线 和 信号 线 加 装 性 能 良好 的 
滤波 器 ， 减 小 传输 阻抗 和 导线 间 的 交叉 耦合 。 另 一 类 是 对 辐射 的 防护 ， 这 类 防护 措施 又 可 
分 为 以 下 两 种 : 一 是 采用 各 种 电磁 屏蔽 措施 ， 如 对 设备 的 金属 屏蔽 和 对 各 种 接 插件 的 屏蔽 ， 
同时 对 机 房 的 下 水 管 、 暖 气管 和 金属 门窗 进行 屏蔽 和 隔离 ;二 是 干扰 的 防护 措施 ， 即 在 计 
算 机 系统 工作 时 ， 利 用 干扰 装置 产生 一 种 与 计算 机 系统 辐射 相关 的 伪 噪 声 向 空间 辐射 来 掩 
盖 计 算 机 系统 的 工作 频率 和 信息 特征 。 

2) ”访问 控制 策略 

访问 控制 是 网 络 安全 防范 和 保护 的 主要 策略 ， 它 的 主要 任务 是 保证 网 络 资源 不 被 非法 
使 用 和 非常 访问 。 它 也 是 维护 网 络 系统 安全 、 保 护 网 络 资源 的 重要 手段 。 各 种 安全 策略 必 
须 相 互 配合 才能 真正 起 到 保护 作用 ,但 访问 控制 可 以 说 是 保证 网 络 安全 最 重要 的 核心 策略 。 

3) ”信息 加 密 策略 

信息 加 密 的 目的 是 保护 网 内 的 数据 、 文 件 、 口 令 和 控制 信息 ， 保 护 网 上 传输 的 数据 。 
网 络 加 密 常 用 的 方法 有 和 链 路 加 密 、 端 点 加 密 和 节点 加 密 三 种 。 链 路 加 密 的 目的 是 保护 网 络 
节点 之 间 的 链 路 信息 安全 ;端点 加 密 的 目的 是 对 源 端 用 户 传输 到 目的 端 用 户 的 数据 提供 保 
护 ; 节点 加 密 的 目的 是 对 源 节点 到 目的 节点 之 间 的 传输 链 路 提供 保护 。 用 户 可 根据 网 络 情 
况 酌 情 选择 上 述 加 密 方式 。 

信息 加 密 过 程 是 通过 形形色色 的 加 密 算法 来 具体 实施 的 ， 它 以 很 小 的 代价 提供 很 大 的 
安全 保护 。 在 多 数 情 况 下 ， 信 息 加 密 是 保证 信息 机 密 性 的 唯一 方法 。 据 不 完全 统计 ， 到 目 
前 为 止 ， 已 经 公开 发 表 的 各 种 加 密 算法 多 达 数 百 种 。 如 果 按 照 收发 双方 密 钥 是 否 相 同 来 分 
类 ， 可 以 将 这 些 加 密 算 法 分 为 常规 密码 算法 和 公 钥 密码 算法 。 

4) 网络 安 全 管理 策略 

在 网 络 安全 中 ， 除 了 采用 上 述 技术 措施 之 外 ， 加 强 网 络 的 安全 管理 ， 制 定 有 关 规 章 制 
度 ， 对 于 确保 网 络 安全 、 可 靠 地 运行 将 起 到 十 分 有 效 的 作用 。 
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网 络 的 安全 管理 策略 包括 : 确定 安全 管理 等 级 和 安全 管理 范围 ; 制订 有 关 网 络 操作 使 
规程 和 人 员 出 入 机 房管 理 制度 ， 制 定 网 络 系统 的 维护 制度 和 应 急 措施 等 。 


2. 安全 策略 的 配置 


开放 式 网 络 环境 下 用 户 的 合法 权益 通常 受到 两 种 方式 的 侵害 : 主动 攻击 和 被 动 攻击 。 
主动 攻击 包括 对 用 户 信息 的 窃取 和 对 信息 流量 的 分 析 。 根 据 用 户 对 安全 的 需求 可 以 采用 以 
下 保护 措施 。@ 身 份 认 证 。 检 验 用 户 的 身份 是 否 合法 ， 防 止 身份 冒充 及 对 用 户 实 施 访问 控 
制 数 据 完整 性 鉴别 ， 防 止 数 据 被 伪造 、 修 改 和 删除 。@@ 信 息 保密 。 防 止 用 户 数据 被 泄 、 窃 
取 ， 保 护 用 户 的 隐私 。@ 数 字 签名 。 明 确 对 信息 进行 处 理 的 人 员 。 狼 访问 控制 。 对 用 户 的 
访问 权限 进行 控制 。@ 不 可 否认 性 。 这 也 称 不 可 抵赖 性 ， 即 防止 对 数据 操作 的 否认 。 


3. 安全 策略 的 实现 流程 


安全 策略 的 实现 涉及 以 下 几 个 主要 方面 。 外 证 书 管理 : 主要 是 指 公开 密 钥 证 书 的 产生 、 
分 配 更 新 和 验证 。@ 密 钥 管理 ， 包 括 密 钥 的 产生 、 协 商 、 交 换 和 更 新 ， 目 的 是 在 通信 的 终 
端 系统 之 间 建 立 实 现 安全 策略 所 需 的 共享 密 钥 。@ 安 全 策略 : 是 指 在 不 同 的 终端 系统 之 间 
协商 建立 共同 采用 的 安全 策略 ， 包 括 安全 策略 实施 所 在 层次 、 具 体 采用 的 认证 、 加 密 算法 
和 步 又、 差错 处 理 措施 。@@ 安 全 算法 实现 : 具体 算法 的 实现 如 PES、RSA。@ 安 全 策略 数据 
库 。 保 存 与 具体 建立 的 安全 策略 有 关 的 状态 、 变 量 、 指 针 。 

安全 策略 的 实现 流程 如 图 1.6 所 示 。 
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图 1.6 安全 策略 的 实现 流程 
4. 网 络 安全 发 展 趋势 


总 的 来 看 ， 对 等 网 络 将 成 为 主流 ， 与 网 络 共 存 。 网 络 进化 的 未 来 一 一 绿色 网 络 呼唤 着 
新 的 信息 安全 保障 体系 。 国 际 互联 网 允许 自主 接 入 ， 从 而 构成 一 个 规模 庞大 的 、 复 杂 的 巨 
系统 ， 在 如 此 复杂 的 环境 下 ， 孤 立 的 技术 发 挥 的 作用 有 限 ， 必 须 从 整体 和 体系 的 角度 ， 综 
合 运用 系统 论 、 控 制 论 和 信息 论 等 理论 ， 融 合 各 种 技术 手段 ， 加 强 自主 创新 和 顶层 设计 ， 
解决 网 络 安全 问题 。 保 证 网 络 安全 还 需 严格 的 手段 ， 未 来 网 络 安全 领域 可 能 发 生 3 件 
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: 第 一 ， 是 向 更 高 级 别 的 认证 转移 ， 第 二 ， 目 前 存储 在 用 户 计 算 机 上 的 复杂 数据 将 “向 
移动 ”， 由 与 银行 相似 的 机 构 来 确保 它们 的 安全 ; 第 三 ， 是 在 全 世界 的 国家 和 地 区 建立 
9 照相 似 的 制度 ， 它 们 在 计算 机 销售 时 限制 计算 机 的 运算 能 力 ， 或 要 求 用 户 演示 在 自己 


Fr 灿 村 了 


运 
同 
加 


I 


计算 机 网 络 安全 技术 图 


的 计算 机 受到 攻击 时 抵御 攻击 的 能 力 。 


1.4.3 数据 


数据 是 信息 的 载体 ， 在 网 络 安全 范畴 内 指 的 是 所 有 有 用 信息 的 总 和 。 数 据 安全 是 网 络 
安全 的 重要 内 容 ， 它 是 指 包含 用 户 信息 的 硬件 、 软 件 受到 保护 ， 不 受 偶然 的 或 恶意 的 破坏 、 
更 改 、 泄 露 。 

1. 数据 安全 因素 


1) “外 部 因素 

对 于 一 个 网 络 系统 而 言 ， 数 据 安全 问题 包括 外 界 因素 造成 的 数据 安全 问题 和 网 络 系统 
内 部 导致 的 数据 安全 问题 。 外 界 因素 造成 的 数据 安全 问题 , 一 方面 是 由 TCP/IP 协议 本 身 导 
致 的 。 例如 TCP/IP 协议 在 设计 时 最 初 的 目标 是 实现 数据 的 传输 和 控制 , 而 没有 充分 考虑 安 
全 性 问题 ， 如 Internet 口令 可 以 通过 许多 方法 破译 ,其 中 最 常用 的 是 将 加 密 过 的 口令 解密 和 
通过 监视 信道 窃取 口令 ; 缺乏 对 用 户 进行 确认 机 制 等 。 另 一 方面 是 由 于 非法 入 侵 以 及 病毒 
所 导致 的 数据 安全 问题 ， 例 如 非法 侵入 者 通过 监视 携带 用 户 名 、 口 令 和 了 IP 的 数据 包 ， 并 获 
取 相 关 数 据 ， 然 后 使 用 这 些 数据 登录 到 系统 ， 非 法 侵入 者 可 以 冒充 一 个 被 信任 的 主机 或 客 
户 ， 并 通过 被 信任 客户 的 他 地 址 取代 自己 的 地 址 等 。 

2) ”内 部 因素 

网 络 系统 内 部 出 现 的 数据 安全 则 与 数据 的 存在 状态 即 存储 和 传输 直接 相关 ， 对 于 数据 
存储 来 说 ， 由 于 网 管 数 据 存储 在 数据 库 中 ， 因 此 数据 的 存储 面临 着 存储 可 靠 性 的 问题 ， 即 
在 数据 库 系统 发 生 错 误 时 ， 不 影响 网 络 数据 的 存 取 操 作 。 而 对 于 数据 传输 而 言 。 由 于 网 管 
数据 的 传输 建立 在 非 安全 的 底层 通信 上 ， 因 此 ， 存 在 数据 保密 性 和 用 户 身 份 验证 的 问题 。 
对 于 网 络 系统 的 操作 来 说 ， 其 安全 威胁 主要 在 于 两 点 : 非法 用 户 对 网 管 系统 的 操作 和 管理 
人 员 对 系统 的 非法 操作 。 因 此 ， 网 络 系统 在 操作 上 存在 用 户 身份 正确 性 与 用 户 权限 验证 的 
问题 。 


2. 数据 边界 安全 策略 


自从 1986 年 美国 Digital 公司 在 Internet 上 安装 了 全 球 第 一 个 商用 防火 墙 系统 ， 提 出 了 
防火 墙 的 概念 后 ， 防 火 墙 技术 得 到 了 飞速 的 发 展 。 第 二 代 防 火 墙 ， 也 称 代理 服务 器 ， 提 供 
网 络 服务 级 的 控制 ， 起 到 外 部 网 络 向 被 保护 的 内 部 网 络 申请 服务 时 中 间 转 接 作 用 ， 这 种 方 
法 可 以 有 效 地 防止 对 内 部 网 络 的 直接 攻击 ， 安 全 性 较 高 。 第 三 代 防 火 墙 有 效 地 提高 了 防火 
墙 的 安全 性 ， 称 为 状态 监控 功能 防火 墙 ， 它 可 以 对 每 一 层 的 数据 包 进行 检测 和 监控 。 

防火 墙 可 以 作为 一 个 非常 有 效 的 抑制 机 制 , 在 内 部 网 络 与 Internet 的 连接 点 上 实施 大 量 
的 控制 ， 但 它 属于 被 动 型 防卫 技术 。 可 以 在 防火 墙 后 面部 署 入 侵 检 测 系统 和 网 络 监控 系统 
所 在 网 段 ， 进 一 步 完 善 网 络 边界 和 网 络 内 部 的 信息 安全 防御 系统 。 入 侵 监测 系统 通过 对 数 
据 包 的 监听 ， 识 别 大 量 基于 网 络 的 入 侵 、 攻 击 和 滥用 。 入 侵 检 测 是 一 种 主动 的 网 络 安全 防 
御 措 施 ， 它 不 仅 可 以 通过 监测 网 络 实现 对 内 部 攻击 、 外 部 攻击 和 误 操作 的 实时 防范 ， 有 效 
地 弥补 防火 墙 的 不 足 ， 而 且 还 能 结合 其 他 网 络 安全 产品 ， 对 网 络 安全 进行 全 方位 的 保护 ， 
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有 具有 主动 性 和 实时 性 的 特点 ， 是 防火 墙 重 要 的 、 有 益 的 补充 。 另 外 ， 为 了 保护 网 络 监控 系 


统 不 受 各 种 网 络 病毒 的 威胁 ， 可 以 为 网 络 监控 系统 配置 网 络 防 病毒 系统 ， 用 于 实时 查 杀 各 
种 网 络 病毒 ， 避 免 计 算 机 病毒 在 网 络 系统 中 传播 ， 可 以 防止 病毒 通过 Internet 电子 邮件 、 文 


件 复 制 等 方式 传输 和 莹 延 。 
3. 数据 传输 安全 策略 


数据 传输 所 涉及 的 要 素 包括 两 点 : 数据 的 发 送 端 /接收 端 和 数据 传输 的 通道 。 针 对 数据 


传输 的 要 素 ， 传 输 数据 信息 丢失 的 原因 大 致 可 以 划分 为 两 类 : 一 类 是 非法 


户 对 数据 的 发 


送 端 和 接收 端 进 行 更 改 以 窃取 数据 ， 另 一 类 是 非法 用 户 在 数据 通道 上 截取 传输 数据 。 


针对 以 上 两 种 数据 安全 问题 ， 数 据 传输 安全 策略 应 从 以 下 两 个 方面 进行 : 第 一 ， 利 用 
加 密 技术 对 数据 进行 加 密 ， 即 为 系统 提供 一 个 安全 的 加 密 通道 ， 第 二 ， 利 用 公 


和 数据 证 书 对 用 户 端 和 服务 器 进行 身份 验证 。 
4. 数字 加 密 技术 


从 密 钥 签名 


现在 的 数据 加 密 体制 可 分 为 对 称 密码 体制 和 非 对 称 密码 体制 两 种 。 在 对 称 密码 体制 中 


最 具 代 表 性 的 是 DES 和 IDEA 加 密 算法 ， 而 在 非 对 称 密码 体制 中 RSA 是 最 典型 的 。 下 


简 述 这 三 种 算法 。 
1) ”DES 数据 加 密 


IBM 公司 早 在 20 世纪 60 年 代 末 就 看 出 了 加 密 算法 对 通信 网 络 的 重要 意义 ， 并 且 成 立 
了 以 Tuchman 博士 为 首 的 新 密码 体制 研究 小 组 , DES(Data Encrypt Standard, 数据 库 加 密 标 
准 ) 密 码 体 制 正 是 在 1971 年 完成 的 LUIFFER 密码 (64b 分 组 密码 ) 的 基础 上 改进 并 制定 的 。 
DES 是 一 种 对 二 元 数据 进行 加 密 的 算法 , 数据 分 组 的 长 度 为 64b 且 密 文 分 组 长 度 也 是 64b， 
因此 有 效 密 钥 长 度 为 56b， 


没有 数据 扩展 。 密 钥 长 度 为 64b。 其 中 ，8b 是 用 作 奇 偶 校 验 的 ， 
DES 的 整个 系统 是 公开 的 ， 系 统 的 安全 依赖 于 密 钥 的 保密 性 。 
2) IDEA 数据 加 密 


IDEA 加 密 算法 (International Data Encryption Algorithm) 是 由 中 国学 者 朱 学 嘉 博士 和 著 
名 的 密码 学 家 James Massey 于 1990 年 提出 ， 后 经 修改 于 1992 年 最 后 完成 。 它 的 明文 块 
与 密 文 块 都 是 128b。 算 法 简要 描述 如 下 : 64b 数据 块 分 成 4 个 子 块 ， 每 个 子 块 16b， 令 这 些 
子 块 为 Xi、X2、X3 和 X4 作为 欠 代 的 第 一 轮 输 入 ， 全 部 共 8 轮 迭 代 ， 每 轮 迭 代 都 是 4 个 子 


块 彼此 间 以 16b 的 子 密 钥 进行 异 或 ，mod(2") 做 逻辑 加 运算 ，mod(21+1) 做 逻辑 乘 运算 。(F 


RonRivest、Adishamirh 和 LenAdleman 开发 的 ， 以 三 人 的 名 学 命名 。) 


3) RSA 数据 加 密 

RSA 加 密 体制 描述 如 下 : 

独立 地 选取 两 大 素数 (各 100 一 200 位 十 进 制 数字 ) 计 算 ， 即 
n=QiQ2; vn)= (Qi-D (QUD 


随机 选 一 个 整数 e， 且 满足 条 件 : 1<e<y(n)，(w(n)，e)=1， 


元 数 ，d=e lmod(w(n))， 取 公 钥 n、e， 私 密 钥 为 d。 
5. 数据 存储 安全 策略 


数据 安全 存储 策略 主要 是 通过 服务 器 元 余 备份 的 方式 来 解决 数据 安全 可 靠 己 


因 


而 在 模 y(n) 下 ， 


E 问 题 ， 将 


计算 机 网 络 安全 技术 国 


风险 分 散 到 两 台 服 务 器 上 ， 从 而 保持 整个 系统 的 数据 安全 性 。 
该 种 方式 中 系统 的 两 台 服 务 器 (主机 ) 都 与 存储 系统 直接 连接 ,用 户 的 操作 系统 、 应 用 软 
件 和 浪潮 LCHA 软件 分 别 安装 在 两 台 主机 上 ,数据 库 等 共享 数据 存放 在 存储 系统 上 ， 两 台 
主机 之 间 通 过 私 用 心跳 网 络 (Heart Beat Net) 连 接 。 

配置 好 的 系统 主机 开始 工作 后 ，LCHA 软件 开始 监控 系统 ， 通 过 私 用 网 络 传递 的 心跳 
信息 ， 每 台 主 机 上 的 LCHA 软件 都 可 监控 另 一 台 主机 的 状态 。 当 工作 主机 发 生 故障 时 ， 心 
跳 信息 就 会 产生 变化 ,这 种 变化 可 以 通过 私 用 心跳 网 络 被 LCHA 软件 捕捉 。 当 捕捉 到 这 种 
变化 后 ，LCHA 就 会 控制 系统 进行 主机 切换 ， 即 备份 机 启动 和 工作 主机 一 样 的 应 用 程序 接 
管 工作 主机 的 工作 (包括 提供 TCP/IP 网 络 服务 、 存 储 系统 的 存 取 等 服务 )， 并 进行 报警 ， 提 
示 管 理 人 员 对 故障 主机 进行 维修 。 当 维修 完毕 后 ， 双 机 系统 继续 工作 。 

此 方案 的 安全 功能 实现 的 关键 在 于 系统 发 生 错误 切换 时 ， 对 客户 端 来 说 主机 是 “隐身 ” 
的 ， 即 主机 的 切换 在 工作 端 看 来 没有 变化 , 所 以 基于 主机 的 应 用 都 能 够 正常 工作 。LCHA 采 
用 虚拟 人 P 地 址 映射 技术 来 实现 此 功能 , 客户 端 通过 虚拟 地 址 和 工作 主机 通信 , 无 论 系统 是 
否 发 生 切 换 ， 虚 拟 地 址 始终 指向 工作 主机 。 

在 进行 网 络 服 务 时 , 在 双 机 系统 后 LCHA 提供 一 个 逻辑 虚拟 地 址 , 任何 一 个 客户 端 需 
要 访问 系统 时 只 需要 使 用 这 个 虚拟 地 址 , 当 双 机 系统 中 的 一 台 服 务 器 出 现 故 障 时 , LCHA 会 
将 另外 一 台 服 务 器 网 卡 的 也 地 址 更 换 为 这 个 虚拟 地 址 ， 继 续 提供 服务 ， 切 换 完成 后 ， 在 客 
户 端 看 来 系统 并 没有 出 现 故障 ， 使 得 用 户 数据 可 以 被 正常 操作 ， 从 而 保证 数据 安全 。LCHA 
工作 原理 示意 图 如 图 1.7 所 示 。 
工作 服务 器 备份 服务 器 
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1.7 ”LCHA 工作 原理 示意 图 


Resource Object 


1.4.4 ”访问 控制 技术 


目前 的 网 络 访问 控制 技术 主要 解决 的 是 网 络 安全 方面 的 问题 ， 而 防火 墙 是 网 络 安全 应 
用 中 必 不 可 少 的 安全 设备 。 但 是 ， 随 着 网 络 技术 的 发 展 和 网 络 应 用 的 普及 ， 网 络 安全 应 用 
也 出 现 了 一 些 负面 的 影响 ， “污染 ”了 网 络 空间 。 在 加 强 网 络 安全 管理 、 防 范 入 侵 和 攻击 
的 同时 ， 一 个 新 的 课题 出 现 了 : 如 何 净化 网 络 空间 、 如 何 更 好 地 进行 网 络 内 容 访问 控制 。 
要 解决 这 样 一 个 具有 普遍 性 和 社会 性 的 问题 ， 一 方面 要 在 行政 上 加 强 网 络 应 用 监管 ， 另 
方面 要 在 技术 手段 上 加 强 内 容 访问 控制 。 两 方面 的 有 机 结合 才能 更 好 地 “净化 ”网 络 空间 ， 
为 人 们 提供 健康 的 网 络 内 容 访问 服务 。 


站 第 1 章 计算 机 网 络 安全 概述 


要 实现 网 络 内 容 访问 控制 功能 ， 最 基本 的 前 提 是 要 得 到 用 户 所 要 访问 的 目的 站 点 或 目 
的 站 点 URL 地 址 。 为 此 ， 需 要 进行 相应 的 访问 拦截 工作 ， 目 前 用 于 实现 网 络 内 容 访 问 控制 
的 相关 技术 (Windows 平台 ) 主 要 有 : 利用 ISAPI 实现 访问 控制 ， 使 用 “ 钧 子 函数 ”捕获 用 户 
输入 蔡 代 动态 链接 库 (Proxy DLL) 技 术 等 。 


1. 通过 ISAPI 实现 访问 控制 


ISAPI(Internet Script Application Program Interface， 网 络 脚本 应 用 程序 接口 ) 是 MS 
Windows 系统 下 的 Internet 信息 服务 应 用 程序 编程 接口 。ISAPI 可 以 实现 对 访问 用 户 的 身份 
认证 、 实 现 访 问 的 重 定向 、 对 访问 口令 实施 加 密 、 实 现 登录 控制 、 进 行 流量 分 析 等 功能 ， 
还 可 以 实现 基于 Web 的 访问 控制 以 及 建立 HTTP 的 访问 过 滤器 。ISAPI 过 滤器 其 实 是 运行 
在 服务 器 端的 一 个 Windows 动态 链接 库 。ISAPI 过 滤器 可 以 对 服务 器 产生 的 特定 事件 进行 
处 理 , 完成 过 滤 功 能 。 在 一 个 服务 器 上 , 可 以 建立 多 个 过 滤器 , 当 用 户 通过 浏览 器 发 出 HTTP 
请 求 时 ， 服 务 器 根据 各 个 过 滤器 的 优先 级 ， 逐 个 处 理 每 一 个 过 滤器 中 的 事件 。 一 旦 一 个 高 
优先 级 过 滤器 阻止 了 HTTP 的 请 求 ， 低 优先 级 的 过 滤器 就 不 会 被 执行 。 

ISAPI 只 能 应 用 于 Windows NT 平台， 以 Ms Proxy 2.0 作为 代理 服务 器 进行 Internet 访 
问 。 设 置 过 多 的 过 滤 事 件 会 影响 服务 器 性 能 ， 会 限制 ISAPI 的 实际 应 用 。 


2. 使 用 “钩子 函数 ”捕获 用 户 输入 


Windows 操作 系统 是 基于 消息 处 理 的 系统 ， 系 统 内 部 及 系统 与 应 用 程序 之 间 都 是 通过 
消息 传递 信息 的 。 利 用 系统 API 挂钩 功 能 能 够 监视 系统 中 消息 的 来 往 ， 能 够 在 消息 到 达 目 
的 地 之 前 将 其 截获 并 根据 要 求 作出 相应 处 理 。 根 据 所 监视 消息 的 不 同 ，Windows 提供 了 10 
种 钧 子 ， 维 护 了 10 个 钩子 链 数组 ， 用 来 对 钧 子 过 程 进行 管理 。 当 钩子 函数 用 于 监视 系统 中 
所 有 线程 消息 时 ， 一 般 放 在 动态 链接 库 中 。 钩 子 的 安装 与 拆除 使 用 两 个 API 函数 : 函数 Set 
Windows Hook Ex 用 于 安装 钧 子 ; 函数 Un Hook Windows Hook Ex 用 于 拆除 钩子 。 函数 Call 
Next Hook Ex 用 于 调用 钩子 链 中 的 下 一 个 钧 子 函数 。 

对 于 特定 的 浏览 器 ， 如 下 浏览 器 ， 当 用 户 在 地 址 栏 中 输入 想 要 访问 的 URL 地 址 或 通 
过 收藏 夹 选择 一 个 URL 地 址 时 ， 都 会 产生 相应 的 消息 。 通 过 对 消息 的 挂钩 处 理 ， 可 以 截获 
用 户 的 输入 ， 实 施 访问 控制 。 

3. 替代 动态 链接 库 (Proxy DLL) 技 术 

这 是 目前 在 Windows 下 调用 API 挂钩 的 最 容易 的 方法 。 为 达到 访问 控制 的 目的 ， 使 用 
一 个 与 原来 的 Winsock( 一 种 网 络 编程 接口 ， 常 用 于 访问 网 络 ) 动 态 链接 库 同名 的 蔡 代 动态 链 
接 库 来 代替 原来 的 Winsock 动态 链接 库 ， 拦 截 Winsock 中 所 有 输入 、 输 出 函数 ， 在 进行 
Winsock 标准 处 理 之 前 ， 进 行 相应 的 特定 操作 。 进 行 必要 的 处 理 后 ， 蔡 代 DLL 就 把 控制 权 
转移 给 原来 的 Winsock 函数 或 者 直接 返回 调用 者 。 这 种 方法 的 缺点 在 于 Winsock 动态 链接 
库 中 的 所 有 函数 都 必须 在 蔡 代 的 动态 链接 库 中 得 到 实现 。 当 一 个 被 蔡 代 DLL 中 包含 有 未 公 
开 的 函数 时 ， 这 种 方法 不 可 能 实现 。 

4. 修改 输出 地 址 (IAT) 表 技术 

修改 输出 地 址 表 (Import Address Table，IAT) 技 术 基于 Windows 可 执行 文件 和 动态 链接 
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库 DLLs 所 采用 的 PE 文件 格式 .Windows 二 进 制 PE 格 式 一 个 COFF 扩展 (Common Object File 
Format)， 逻 辑 上 划分 为 几 个 区 ， 包 括 一 个 DOS 兼容 头 、 一 个 PE 头 、 一 个 包含 程序 代码 的 
文本 段 、 一 个 包含 初始 化 数据 的 数据 段 、 一 个 列举 所 有 引用 的 DLL 和 函数 名 的 引入 表 、 一 
个 列举 代码 和 输出 符号 的 输出 表 。 在 Windows 执行 文件 的 这 些 区 中 ，.idata 区 对 于 实现 API 
函数 拦截 十 分 有 用 , 它 包含 了 函数 输入 地 址 表 IAT, 其 内 容 为 程序 所 引用 的 输入 函数 名 在 文 
件 中 的 偏 移 。Windows 采用 IAT 结构 是 因为 Windows 应 用 程序 和 DLLs 在 调 入 内 存 后 需要 
重新 定位 ， 不 能 事先 把 应 用 程序 的 导入 函数 地 址 放 在 应 用 程序 的 代码 中 。Windows 在 所 有 
引用 这 些 导 入 函数 的 地 方 都 放置 了 一 条 间接 JMP 指令 。 为 了 使 这 些 函数 调用 能 够 成 功 地 到 
达 它 们 的 目标 地 址 ，Windows 必须 在 应 用 程序 加 载 到 内 存 后 ， 找 到 对 导入 函数 的 每 一 处 调 
有 ， 用 输入 函数 的 实际 地 址 代 蔡 这 些 偏 移 。 通过 重 写 IAT, 将 自己 的 处 理 函 数 入 口 代替 原来 
的 函数 入 口 地 址 。 这 样 ， 应 用 程序 要 执行 原来 的 函数 调用 时 ， 蔡 代 处 理 函数 就 会 立刻 获得 
控制 权 。 


5. Microsoft Detours 


一 个 创新 系统 的 研究 关键 在 于 调试 和 扩充 现 有 操作 系统 和 应 用 程序 的 功能 ， 而 无 论 这 
些 代 码 位 于 应 用 程序 中 还 是 操作 系统 的 动态 链接 库 中 。 拦 截 函数 的 主要 目的 是 增加 功能 ， 
如 修改 返回 值 或 是 插入 调试 和 性 能 评估 指令 。 微 软 公司 为 此 专门 开发 了 通用 性 的 开发 工具 
包 Detours, 用 于 拦截 x86 机 器 上 的 任意 Win32 API 函数 。Detours 库 通过 改写 进程 内 的 二 进 
制 映像 实现 对 Target 函数 的 拦截 。Detours 把 Target( 要 拦截 的 目标 函数 ) 开 始 的 几 条 指令 蔡 
换 成 一 个 无 条 件 跳 转 到 Detours 函数 (用 户 提供 的 蔡 换 函数 ) 的 跳 转 指令 。Target 函数 (目标 函 
数 ) 的 指令 被 保存 到 一 个 名 为 Trampoline( 跳 板 函数 ) 的 函数 中 。Trampoline 函数 由 Target 函 
数 开 始 的 几 条 指令 和 一 条 跳 转 到 Target 函数 的 起 始 地 址 的 指令 组 成 。 

同时 ，Detours 提供 了 组 函数 实现 DLL 的 输入 表 编 辑 和 任意 数据 段 的 注入 , 即 把 一 个 任 
意 的 DLL 库 注 入 到 一 个 进程 中 。 这 个 过 程 既 可 以 在 内 存 中 进行 ， 也 可 以 在 磁盘 上 进行 ， 其 
是 一 个 可 逆 的 过 程 。 为 了 修改 Windows 二 进 制 代码 ，Detours 在 输出 表 和 调试 符号 中 间 创 建 
了 一 个 新 的 Detours 段 ， 包 含 了 一 个 Detours 头 记 录 和 一 个 原来 PE 头 的 副本 。 如 果 修 改 输 
入 表 , Detours 将 创建 一 个 新 的 输入 表 , 添加 到 复制 的 PE 头 中 , 然后 修改 原来 的 PE 头 结构 ， 
使 其 指向 新 的 输入 表 。Detours 不 但 提供 了 一 组 编辑 输入 表 , 添加 、 枚 举 、 去 除 Play loads( 负 
载 ) 再 绑 定 二 进 制 的 函数 ， 也 提供 了 一 组 用 来 枚 举 映射 地 址 空间 的 二 进 制 文件 、 定 位 映射 文 
件 的 函数 。 
Detours 使 用 写 后 引用 的 技术 实现 DLL 到 进程 的 映射 。 在 Windows 环境 下 仅 当 进程 创 
建 采用 DEBUG PROCESS 标志 ， 用 Create Process 函数 创建 时 才 使 用 写 后 引用 的 DLL 映像 
方法 。Windows NT 和 Windows 2000 总 是 使 用 写 后 引用 的 技术 。 


6. Windows 网 络 底层 控制 


Windows 系统 采用 开放 式 系统 架构 (WOSA)， 系 统 的 功能 由 不 同 级 别 的 系统 组 件 提供 。 
系统 的 核心 运行 Ring 0 级 。 为 达到 网 络 内 容 访问 控制 的 目的 ,可 以 对 系统 核心 组 件 (如 TCP/P 
协议 栈 、 网 络 适配器 驱动 程序 等 ) 进 行 编程 。 出 于 对 系统 资源 共享 和 安全 性 的 考虑 ，Windows 
API 不 提供 直接 访问 Ring 0 级 网 络 底层 协议 的 支持 。 应 用 程序 要 想 进 行 底层 操作 ， 就 必须 
编制 相应 的 客户 虚拟 驱动 程序 (Virtual Device Driver VxD), 由 虚拟 驱动 程序 充当 Ring 0 级 底 
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层 网 络 接口 控制 器 和 Ring 级 上 层 Windows 应 用 程序 之 间 的 接 


义 了 一 个 接口 抽象 层 NDIS 3.1， 它 的 主要 作用 是 将 驱动 程序 从 网 络 适配器 解放 出 来 ， 


动 程序 能 同 计算 机 上 的 任意 NIC 相通 信 。 应 用 程序 调用 VxD 时 , 通过 虚拟 机 管理 
查询 VxD 的 设备 描述 符 块 DDB(Device Descriptor Block) 来 获得 VxD 的 3 
这 个 主 入 口 点 将 VMM 及 Windows 自身 的 状态 通知 给 VxD， 然 后 VxD 通过 相应 的 


来 响应 这 些 事件 。 


Windows API 提供 了 动态 加 载 、 卸 载 VxD 的 接口 函数 : CreateFile()、CloseFile()。 要 对 
某 个 具体 的 NIC 进行 控制 ， 需 要 将 VxD 与 相应 的 NIC 进行 绑 定 。VxD 和 Windows 应 用 程 
序 之 间 要 互相 提供 服务 接口 。Windows 应 用 程序 向 VxD 发 起 请 求 服务 的 唯一 接口 是 通过 函 
数 DeviceIoControl0) 进 行 的 ， 通 过 传递 相应 的 命令 控制 码 协同 VxD 工作 。VxD 可 以 利用 


。YVxD 与 网 络 硬件 之 间 定 


使 驱 


E 器 (VMM) 
EE 入口 点 。VMM 和 


工作 


DeviceIoControl() 函 数 传递 过 来 的 类 型 为 OVERLAPPED 结构 的 参数 jpOver-Lapped( 该 参数 


实现 网 络 内 容 访问 控制 。 


1.4.5 ”网 络 监控 软件 


的 成 员 变量 IEvent 指向 Win32App 中 创建 的 事件 实例 ) 实 现 一 种 基于 事件 的 异步 通信 机 制 。 
VxD 接收 到 数据 包 或 完成 Win32App 请 求 的 服务 后 ， 激 发 该 事件 ， 从 而 通知 Ring3 级 中 处 
于 执行 状态 或 睡眠 状态 的 应 用 程序 完成 后 续 的 操作 。 通 过 VxD 可 以 对 网 络 进行 监控 ， 定 义 
己 的 传输 协议 栈 ， 对 接收 的 数据 包 进 行 分 析 ， 对 一 些 用 户 的 非法 数据 包 了 予以 抛弃 ， 从 而 


目前 ， 很 多 企业 配备 了 专门 的 网 络 管理 人 员 来 管理 企业 所 构建 的 网 站 ， 虽 然 网 络 管理 


人 员 管 好 了 设备 ， 但 设备 所 带 来 的 方便 却 降低 了 企业 员工 的 了 


露 的 风险 (因为 缺乏 管理 ， 客 户 资料 很 可 能 被 自己 人 传送 给 竞争 对 手 ， 成 为 对 方 的 资源 )。 因 
此 企业 内 部 网 络 的 管理 ， 仅 仅 靠 购买 设备 、 建 设 网 站 是 不 够 的 ， 只 管理 网 络 设备 也 是 不 够 
的 ， 还 需要 对 员工 使 用 网 络 的 内 容 作 监控 ， 把 使 用 网 络 的 行为 管理 起 来 。 尤 其 是 外 贸 企 业 、 
技术 研发 类 企业 (如 软件 开发 、 机 械 工程 )、 政 府 机 关 、 银 行 、 医 院 、 部 队 等 关键 任务 机 构 ， 


对 员工 的 上 网 监督 管理 必 不 可 少 。 


C 作 效率 ， 加 大 了 商业 信息 泄 


网 络 监控 软件 的 主要 目标 是 ，@ 防 止 并 追查 重要 资料 、 机 密 文 件 等 外 泄 ，@ 监 督 、 审 


查 、 限 制 、 规 范 网 络 使 用 行为 ，@ 限 制 消耗 资源 的 聊天 、 游 戏 、 外 发 资料 、BT 恶性 下 载 和 
股票 等 行为 ，@ 备 份 重要 网 络 资源 文件 (比如 业务 邮件 )，@@ 监 视 QQ/MSN 聊天 记录 内 


行为 过 程 ，@ 流 量 限制 以 及 网 站 访问 统计 ， 用 于 分 析 员 工 使 / 


网 络 情况 。 


照 运 行 原理 区 分 为 监听 模式 和 网 关 模式 两 种 ， 其 中 监听 模式 分 为 通过 共享 式 


模式 、 通 过 镜像 交换 机 模式 和 通过 代理 /网 关 服 务 器 模式 。 网 关 模 式 分 为 内 


网 监控 模式 。 


Sniffer， 中 文 可 以 翻译 为 嗅 探 器 ， 是 一 种 基于 被 动 侦 听 原理 的 网 络 分 析 方 式 。 使 用 i 
技术 方式 ， 可 以 监视 网 络 的 状态 、 数 据 流动 情况 以 及 网 络 上 传输 的 信息 。 当 信息 以 明 


形式 在 网 络 上 传输 时 ， 便 可 以 使 用 网 络 监听 的 方式 来 进行 攻击 。 将 网 络 接 


式 ， 便 可 以 将 网 上 传输 的 源源 不 断 的 信息 截获 。Sniffer 技术 常常 被 黑客 们 用 来 截获 / 
令 ， 但 实际 上 Sniffer 技术 被 广泛 地 应 用 于 网 络 故障 诊断 、 协 议 分 析 、 应 


络 监控 软 


设置 为 监 


容 和 
件 按 


HUB( 集 线 器 ) 
监控 模式 和 外 


用 性 能 分 析 和 网 
络 安全 保障 等 各 个 领域 .Sniffer 分 为 软件 和 硬件 两 种 。 软 件 的 Sniffer 有 Sniffer Pro、 Network 
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Monitor、Packet Bone 等 ， 其 优点 是 易于 安装 部 署 ， 易 于 学 习 使 用 ， 同 时 也 易于 交流 ， 缺 点 
是 无 法 抓 取 网 络 上 所 有 的 传输 ， 某 些 情况 下 也 就 无 法 真正 了 解 网 络 的 故障 和 运行 情况 。 硬 
件 的 Sniffer 通常 称 为 协议 分 析 仪 ， 一 般 都 是 商业 性 的 ， 价 格 也 比较 昂贵 ， 但 会 具备 支持 各 
类 扩展 的 链 路 捕获 功能 以 及 高 性 能 的 数据 实时 捕获 分 析 的 功能 。 
网 络 监听 是 当 一 个 黑客 成 功 地 “攻陷 ”了 一 台 主 机 ， 并 拿 到 了 管理 员 权限 ， 而 且 还 想 
利用 这 台 主 机 去 攻击 同一 物理 网 段 上 的 其 他 主机 时 , 他 就 会 在 这 台 主 机 上 安装 Sniffer 软件 ， 
对 以 太 网 设备 上 传送 的 数据 包 进行 侦 听 ， 从 而 发 现 感 兴趣 的 包 。 如 果 发 现 符合 条 件 的 包 ， 
就 把 它 存 到 一 个 Log 文件 中 。 通 常设 置 的 这 些 条 件 是 包含 字 “username” 或 “password” 的 
包 ， 这 样 的 包 里 面 通 常 有 黑客 感 兴趣 的 密码 之 类 的 东西 。 一 旦 黑客 截获 了 某 台 主 机 的 密码 ， 
他 就 会 立刻 侵入 这 台 主 机 。 

如 果 Sniffer 运行 在 路 由 器 上 或 有 路 由 功能 的 主机 上 ， 就 能 对 大 量 的 数据 进行 监控 ， 因 
为 所 有 进出 网 络 的 数据 包 都 要 经 过 路 由 器 。 

在 正常 情况 下 ， 一 个 合法 的 网 络 接口 应 该 只 响应 这 样 的 两 种 数据 帧 : 四 帧 的 目标 区 域 
具有 和 本 地 网 络 接口 相 匹配 的 硬件 地 址 ，@) 帧 的 目标 区 域 具有 “广播 地 址 ”。 而 Sniffer 
就 是 一 种 能 将 本 地 网 卡 状态 设 成 混杂 状态 的 软件 ， 当 网 卡 处 于 这 种 “混杂 ”模式 时 ， 该 网 
卡 具备 “广播 地 址 ”， 它 对 遭遇 到 的 每 一 个 帧 都 产生 一 个 硬件 中 断 ， 以 便 提醒 操作 系统 处 
理 流 经 该 物理 媒体 上 的 每 一 个 报 文 包 。 大 多 数 的 Sniffer 至 少 能 够 分 析 下 面 的 协议 : 标准 以 
太 网 、TCP/IP、IPX、DECNet。 

下 面 我 们 对 Sniffer Pro 作 具 体 的 说 明 。Sniffer Pro 在 网 络 拓扑 结构 中 的 位 置 如 图 1.8 所 
示 ，Sniffer Pro 实时 监控 的 目的 是 及 时 发 现 网 络 环境 中 的 故障 (例如 病毒 、 攻 击 、 流 量 超 限 
等 非 正常 行为 )。 在 很 多 企业 、 网 吧 的 网 络 环境 中 ， 网 关 ( 路 由 、 代 理 等 ) 自 身 不 具备 流量 监 
控 、 查 询 功 能 ， 这 时 Sniffer Pro 将 是 一 个 很 好 的 解决 方案 。Sniffer Pro 强大 的 实用 功能 还 包 
括 : 网 内 任意 终端 流量 实时 查询 、 网 内 终端 与 终端 之 间 流 量 实时 查询 、 终 端 流量 TOP 排行 、 
异常 告警 等 。 同时 , 我 们 将 数据 包 捕获 后 ,通过 Sniffer Pro 的 专家 分 析 系 统 帮 助 我 们 更 进 一 
步 分 析 数 据 包 ， 以 便 更 好 地 分 析 、 解 决 网络 异 常 问题 。 从 图 1.8 中 我 们 可 能 了 解 以 下 内 容 。 
Q@8 什 么 是 端口 镜像 ? 就 是 把 交换 机 一 个 或 多 个 端口 (VLAN) 的 数据 镜像 到 一 个 或 多 个 端口 
的 方法 。@ 为 什么 需要 端口 镜像 ? 交换 机 的 工作 原理 与 HUB 有 很 大 的 不 同 ，HUB 组 建 的 
网 络 数据 交换 都 是 通过 广播 方式 进行 的 , 而 交换 机 组 建 的 网 络 是 根据 交换 机 内 部 CAM 表 ( 通 
常 也 称 IP-MAC 表 ) 进 行 数据 转发 ， 因 此 需要 通过 配置 交换 机 来 把 一 个 或 多 个 端口 (VLAN) 
的 数据 转发 到 某 一 个 端口 ， 以 实现 对 网 络 的 监听 。 


外 网 


PC PC Sniffer Pro 
图 1.8 网 络 拓扑 结构 
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例 : fa0/2 接口 监控 fa0/10 接口 的 步骤 如 下 。 


Switch# configure terminal 

! 进入 全 局 配置 模式 

Switch (config)# monitor session 1 source interface fast Ethernet 0/10 both 
! 设置 被 监控 口 

Switch (config)# monitor session 1 destination interface fast Ethernet 0/2 
! 设置 监控 口 

Switch (config)# end 

Switch#wr 

Switch# show monitor session 1 ! 查看 当前 配置 

Switch (Config)# no monitor session 1 


! 清除 当前 配置 


1.4.6 ”病毒 保护 


何 为 病毒 ? 病毒 就 是 指 在 计算 机 程序 中 编制 或 者 插入 的 破坏 计算 机 功能 或 破坏 数据 ， 
影响 计算 机 使 用 并 且 能 够 自我 复制 的 一 组 计算 机 指令 或 者 程序 代码 。 病 毒 的 种 类 有 以 下 几 
种 。 外 系统 病毒 。 感 染 Windows 操作 系统 的 .exe 和 .dll 文件 。@ 肾 虫 病毒 。 通 过 网 络 或 者 
系统 漏洞 进行 传播 ， 大 部 分 的 蠕虫 病毒 都 有 向 外 发 送 带 毒 邮件 、 阻 塞 网 络 的 特性 。@@ 木 马 
病毒 。 通 过 一 段 特定 的 程序 (木马 程序 ) 来 控制 另 一 台 计算 机 的 病毒 。@@ 脚 本 病毒 。 使 用 脚本 
语言 编号， 通过 网 页 进行 传播 的 病毒 。@ 宏 病毒 。 让 计算 机 感染 传统 型 的 病毒 ， 删 除 硬盘 
上 的 文件 或 文档 。@ 后 门 病毒 。 后 门 病毒 就 是 辅助 木马 进一步 入 侵 的 小 程序 ， 通 常会 开启 
若干 端口 或 服务 。 

对 一 般 用 户 的 防治 方法 ， 应 首先 立足 于 预防 ， 堵 住 病 毒 的 传染 渠道 。 预 防 计算 机 病毒 
的 措施 主要 有 以 下 几 个 方面 。@ 重 要 部 门 的 计算 机 ， 尽 量 专机 专用 ， 与 外 界 隔 绝 。@ 不 使 
用 来 历 不 明 ， 无 法 确定 是 否 带 有 病毒 的 软盘 、 光 盘 。@@ 慎 用 公用 软件 和 共享 软件 。@ 图 坚持 
定期 检测 计算 机 系统 。@ 坚 持 经 常 性 地 备份 数据 ， 以 便 日 后 恢复 ， 这 也 是 预防 病毒 破坏 最 
有 效 的 方法 。@@ 外 来 光盘 、U 盘 经 检测 确认 无 毒 后 再 使 用 。@ 备 有 最 新 的 病毒 检测 、 清 除 
软件 。@ 上 网 用 户 不 要 随意 点 击 好 友 发 来 的 链接 、 可 执行 文件 。@ 经 常 更 新 系统 及 软件 漏 
洞 ， 使 用 复杂 口令 并 经 常 更 改 。 

上 述 只 是 一 些 常用 的 措施 ， 预 防 病毒 最 重要 的 是 思想 上 要 予以 重视 ， 充 分 认识 到 计算 
机 病毒 的 危害 性 ， 对 计算 机 机 房 加 强 管理 ， 采 取 一 切 措施 堵 住 病毒 的 传染 渠道 。 

对 计算 机 病毒 的 具体 介绍 和 防护 将 放 在 第 3 章 作 详 细 的 说 明和 介绍 。 


™ | 下 章 可 是 
一 、 选 择 题 
1. 关于 计算 机 网 络 安全 的 内 容 不 包括 ( 。 )。 
A. 保护 网 络 环境 里 数据 的 保密 性 B. 保护 网 络 环境 里 数据 的 完整 性 
C. 保护 网 络 环境 里 数据 的 可 使 用 性 D. 保护 网 络 环境 里 数据 的 逻辑 性 
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2. 保护 计算 机 系统 内 软件 和 数据 不 被 非法 删改 ， 是 指 网 络 安全 特性 中 的 ( 。”)。 
A. 保密 性 B. 完整 性 C. 可 用 性 D. 不 可 否认 性 

二 、 思 考题 

1. 计算 机 网 络 安全 的 定义 。 

2. 网 络 安全 有 哪些 基本 要 素 ? 

3. 防火 墙 技 术 的 优点 与 缺点 。 


(和 二 


通过 第 1 章 的 学 习 ， 我 们 对 计算 机 网 络 安全 的 内 容 有 了 大 
体 认识 ， 知 道 了 它 的 重要 性 和 各 方面 存在 的 问题 ， 从 本 章 开始 
我 们 对 其 所 涉及 的 内 容 进 行 详细 介绍 ， 在 本 章 中 我 们 可 以 学 习 
到 以 下 知识 内 容 。 


国 黑客 的 概念 。 图 ”目标 系统 的 探测 方法 。 
国 ”口令 破解 和 网 络 监听 。 加” 木马 病毒 的 相关 知识 。 
国 ”拒绝 服务 攻击 。 加 ”缓冲 区 溢出 。 
和 一 
( 技能 目标 
练习 查看 注册 表 的 几 处 藏匿 木马 程序 的 
查看 木马 病毒 经 常 加 载 的 项 目 。 


模拟 一 次 Syn Flood 攻击 过 程 。 
网 络 安全 防护 体系 。 
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“2.1 工作 场景 导入 


2012 年 5 月 29 上 日， 美国 《世界 日 报 》 报 道 ， 电 子 邮件 被 黑客 攻击 ， 后 果 可 不 只 是 向 朋 
友 乱 发 电邮 那样 简单 ， 竟 然 有 黑客 花 长 时 间 研 究 电邮 内 容 ， 然 后 盗用 朋友 名 义 、 以 朋友 口 
吻 与 邮箱 主人 交流 ， 让 邮箱 主人 渐渐 走 入 一 个 大 图 套 ! 

做 进出 口 贸易 的 柳 先 生 ( 化 名 ) 的 计算 机 被 黑客 植 入 木马 ， 黑 客 盗 取 了 柳 先 生 的 电子 邮箱 
账号 和 密码 ， 在 偷偷 登录 柳 先生 邮箱 ， 研 究 了 柳 先 生 的 邮件 内 容 后 ， 发 现 柳 先生 与 一 位 李 
女士 生意 来 往 密切 ， 于 是 黑客 注册 了 一 个 与 李 女 士 的 电子 邮箱 用 户 号 非常 接近 的 邮箱 ， 然 
后 模仿 李 女 士 的 口吻 ， 与 柳 先 生 进行 接洽 。 原 来 ， 柳 先生 家 住 美国 ， 从 中 国 广东 进口 家 居 
装饰 器 材 到 美国 ， 做 这 一 行 已 经 很 多 年 ， 与 广东 的 厂商 李 女 士 有 很 好 的 合作 关系 ， 两 家 人 
也 十 分 熟悉 。 最 近 ， 柳 先生 从 李 女 士 处 进口 了 一 大 笔 器 材 ， 价 值 20 万 美元 左右 ， 按 惯例 ， 
发 货 前 付 一 半 款 项 ， 货 到 后 再 付 另 一 半 的 余 款 。 发 货 前 ， 柳 先生 收 到 了 “ 李 女 士 ”的 一 封 
电邮 ， 要 求 把 货款 电汇 到 一 个 新 的 银行 账号 ， 因 为 黑客 所 使 用 的 电邮 账号 与 李 女 士 真实 的 
账号 非常 接近 ， 电 邮 的 语气 也 和 李 女 士 的 一 样 ， 柳 先生 也 没有 怀疑 ， 当 他 看 了 电邮 关于 新 
银行 账号 的 解释 时 ， 也 觉得 合情合理 ， 就 按 要 求 填写 了 汇款 单 ， 准 备 将 钱 款 汇 出 。 通 知 银 
行 前 ， 柳 先生 突然 想 给 李 女 士 打 个 电话 ， 问 候 一 下 老 朋 友 ， 同 时 也 交代 一 下 寄 支 标的 时 间 ， 
结果 ， 李 女士 表示 对 要 求 货款 电汇 到 另 一 银行 之 事 毫 不 知情 ， 她 也 根本 没有 发 过 那些 有 关 
货品 收 到 、 情 况 如 何 之 类 的 电邮 ! 柳 先 生 吓 得 出 了 一 身 冷 汗 ， 他 表示 如 果 自 己 没 有 打 电 网 
话 给 李 女 士 就 直接 通知 银行 汇款 ， 那 几 秒 钟 之 后 10 万 美元 就 没有 了 。 

引导 问题 : 

1. 什么 是 黑客 ? 

2. 什么 是 木马 ? 

3. 如 何 防止 像 上 述 案 例 中 所 遭受 黑客 攻击 事件 的 发 生 ? 


2.2 黑客 概述 


2.2.1 黑客 的 由 来 


在 日 本 《新 黑客 词典 》 中 对 黑客 的 定义 是 喜欢 探索 软件 程序 奥秘 ， 并 从 中 增长 了 其 个 
人 才干 的 人 。 他 们 不 像 绝 大 多 数 计算 机 使 用 者 那样 只 规 规 矩 矩 地 了 解 别人 指定 了 解 的 狭小 
部 分 内 容 。 
黑客 (Hacker) 是 一 个 喜欢 用 智力 通过 创造 性 方法 来 挑战 脑力 极限 的 人 ,特别 是 他 们 所 感 
兴趣 的 领域 ， 例 如 计算 机 编程 或 电器 工程 。 黑 客 最 早 源 自 英文 Hacker， 这 一 称谓 早期 在 美 
国 的 计算 机 界 是 带 有 褒 义 的 。 黑 客 一 词 ， 原 指 热心 于 计算 机 技术 ， 水 平 高 超 的 计算 机 专家 ， 
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尤其 是 程序 设计 人 员 。 但 在 媒体 报道 中 , 黑客 一 词 往往 指 那些 “软件 骇 客 ”(Software Cracker)。 
到 了 今天 ， 黑 客 一 词 已 被 用 于 泛 指 那些 专门 利用 计算 机 网 络 搞 破 坏 或 恶作剧 的 家 伙 。 对 这 
群 人 的 正确 英文 叫 法 是 Cracker， 有 人 翻译 成 “ 骇 客 ”。 

黑客 和 骇 客 根本 的 区 别 是 ， 黑客 们 建设 ， 而 骇 客 们 破坏 。 也 有 人 叫 黑客 为 Hacker。 


黑客 一 词 一 般 有 以 下 四 种 意义 。 


(1) 一 个 对 ( 某 领域 内 的 ) 编 程 语言 有 足够 了 解 , 可 以 不 经 长 时 间 思 考 就 外 


软件 的 人 。 


E 创 造 出 有 用 的 


(2) 一 个 恶意 (一 般 是 非法 地 ) 试 图 破解 或 破坏 某 个 程序 、 系 统 及 网 络 安全 的 人 。 这 个 意 
义 常常 对 那些 符合 条 件 (1) 的 黑客 造成 严重 困扰 ， 他 们 建议 媒体 将 这 群 人 称 为 “ 骇 客 ” 


(Cracker)。 有 时 这 群 人 也 被 叫 作 “ 黑 帆 黑客 ”。 像 


国内 著名 的 黑客 一 一 “ 教 


业 的 黑 帽 黑客 ， 利 用 系统 的 漏洞 来 达到 入 侵 和 渗透 的 目的 。“ 脚 本 小 子 ” 由 
有 或 仅 有 一 点 点 骇 客 技巧 ， 而 只 是 按照 指示 或 运行 某 种 骇 客 程序 来 达到 破解 目的 的 人 。 
(3) 一 个 试图 破解 某 系统 或 网 络 以 提醒 该 系统 所 有 者 的 系统 安全 漏洞 。 这 群 人 往往 被 


称 作 “ 白 帽 黑客 ”或 “匿名 客 ”(Sneaker) 或 “ 红 客 ”。 


员 ， 并 在 完全 合法 的 情况 下 攻击 某 系统 。 


E” 则 是 一 个 专 
| 指 那些 完全 没 


许多 这 样 的 人 是 计算 机 安全 公司 的 雇 


(4) 一 个 通过 知识 或 猜测 而 对 某 段 程序 做 出 (往往 是 好 的 ) 修 改 ， 并 改变 (或 增强 ) 该 程序 


用 途 的 人 。 
在 世界 黑客 历史 上 著名 的 黑客 有 以 下 几 位 。 


Kevin David Mitnick( 凯 文 * 米 特 尼 克 ) 一 一 世界 上 公认 的 头号 黑客 。 他 是 第 一 个 被 美国 联 


邦 调查 局 通缉 的 黑客 。 


Richard Stallman( 理 查 德 。 马 修 ， 斯 托 曼 ) 一 一 传统 型 大 黑客 ，Stallman 在 1971 年 受聘 成 


为 美国 麻 省 理工 学 院 人 工 智能 实验 室 程序 员 。 


Ken Thompson( 卡 ， 汤 普 逊 ) 和 Dennis M. Ritchie( 丹 尼斯 。 里 奇 ) 


机 科学 操作 组 程序 员 。 两 人 在 1969 年 发 明了 UNIX 操作 系统 。 
John Draper( 约 输 。 德 雷 珀 ， 以 “ 味 喀 船长 ”、“Captain Crunch” 闻 名 ) 一 一 发 明了 用 一 


个 塑料 哨子 打 免 费 电话 。 


贝尔 实验 室 的 计算 


Mark Abene( 马 克 。 阿 贝 必 ， 以 “Phiber Optik” 而 闻名 ) 一 一 鼓舞 了 全 美 无 数 青少年 “学 


习 ” 美 


也 


内 部 电话 系统 是 如 何 运作 的 。 


互联 网 蠕虫。 


Robert Morris( 罗 伯 特 。 莫 里 斯 ) 一 一 康 奈 尔 大 学 毕业 生 ， 于 1988 年 不 小 心 散布 了 第 一 只 


Kevin Poulsen( 凯 文 。 普尔 森 ) 一 一 Poulsen 于 1990 年 成 功 地 控制 了 所 有 进入 洛杉矶 地 区 
KIIS-FM 电台 的 电话 线 而 赢得 了 该 电台 主办 的 有 奖 听众 游戏 。 
Vladimir Levin( 范 德 米尔 。 列 文 ) 一 一 这 位 数学 家 领导 俄罗斯 骇 客 组 织 诈骗 花旗 银行 ， 使 


该 银行 向 其 分 发 1000 万 美元 。 
Steve Wozniak( 斯 带 文 。 盖 德 。 沃 兹 尼 亚 克 ) 


苹果 电脑 创办 人 之 一 。 


图 2.1 为 Ken Thompson( 卡 ， 汤 普 进 ) 和 Dennis Ritchie( 丹 尼斯 。 里 奇 ) 于 


日 ， 在 白宫 从 美国 总 统 克 林 顿 手中 接 过 沉 多 多 的 全 美 技术 勋章 。 


1999 年 4 月 27 
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2.1 Ken Thompson 和 Dennis Ritchie 
在 中 国 黑客 历史 上 著名 的 黑客 有 以 下 几 位 。 


网 名 : Coolfire， 真 实 姓名 叫 林 正隆 ， 中 国 台 湾 著 名 黑客 ， 中 国 黑客 界 元 老 级 人 物 。 他 
用 Coolfire 这 个 名 字 连 续 写 了 8 篇 黑客 入 门 文章 。 许 多 人 非常 熟悉 这 样 的 开头 : “这 不 是 一 
个 教学 文件 ， 只 是 告诉 你 该 如 何 破解 系统 ， 好 让 你 能 够 将 自己 的 系统 作 安 全 的 保护 ， 如 果 
你 能 够 将 这 份 文件 完全 看 完 ， 你 就 能 够 知道 计算 机 骇 客 们 是 如 何 入 侵 你 的 计算 机 ， 我 是 
Coolfire， 写 这 篇 文章 的 目的 是 要 让 大 家 明白 计算 机 安全 的 重要 性 ， 并 不 是 教 人 Crack 


» 


Password 。 

网 名 : Goodwell ， 袭 蔚 ， 中 国 黑客 界 元 老 级 人 物 。1997 年 ， 袭 蔚 在 境外 某 网 站 申请 了 
一 处 免费 空间 并 在 国内 做 了 镜像 站 点 ， 用 于 黑客 之 间 的 交流 ， 成 立 了 第 一 个 中 文 黑客 站 点 
“绿色 兵团 ”。 绿 色 兵 团 的 名 字 ， 来 源 于 他 美好 的 梦想 “以 兵团 一 般 的 纪律 和 规则 ， 
打造 绿色 和 平 的 网 络 世界 ”。 这 是 一 个 被 众多 黑客 称 作 “ 黄 埔 军校 ”的 中 国 最 早 的 计算 机 
黑客 组 织 。 如 今 的 焚 蔚 甚至 都 已 不 愿 轻 言 往事 ，“ 那 是 一 段 成 长 的 历史 ”， 他 说 自己 反思 
过 ， 检 讨 过 ， 再 无 重 温 的 激情 ， 江 湖 也 早 无 Goodwell( 网 名 )。 

网 名 : Iamin， 真 实 姓名 不 详 ， 中 国 最 早 的 黑客 站 点 一 一 黑客 之 家 的 创始 人 ， 中 国 黑客 
界 元 老 级 人 物 。1997 年 绿色 兵团 站 点 第 一 万 个 访客 ， 当 时 他 的 站 点 和 绿色 兵团 是 两 个 主要 
汐 安 全 大 站 。 其 安全 站 点 一 一 黑客 之 家 也 是 当初 最 出 名 的 站 点 。2001 年 5 月 的 一 期 《南方 
周末 》 上 ， 有 一 篇 介绍 “五 四 黑客 大 战 ” 的 文章 。 当 时 因为 王 伟 撞 机 事件 ， 引 起 国人 的 反 
美 情 绪 ， 后 来 适 着 五 四 青年 节 ， 所 以 当时 黑客 开展 互联 网 上 的 攻击 ， 把 白宫 的 网 站 给 搞 得 
沦陷 了 。 当 时 报纸 上 介绍 了 两 位 参与 此 次 黑客 行动 的 人 物 其 中 一 位 就 是 Iamin。 


2.2.2 黑客 攻击 的 动机 


黑客 的 类 型 不 同 ， 所 以 他 们 的 攻击 动机 也 是 各 式 各 样 的 ， 但 大 体 上 也 离 不 开 以 下 几 个 
方面 。 

@ ”贪心 一 一 偷窃 或 者 敲诈 。 

@ 恶作剧 一 一 无 聊 的 计算 机 程序 员 。 
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@ ”名 声 一 一 显露 出 计算 机 经 验 与 才智 ， 以 便 证 明 他 们 的 能 力 或 获得 名 气 。 

@ 报复 / 宿 怨 一 一 被 解雇 、 受 批评 或 者 被 降级 的 雇员 ， 或 者 其 他 任何 认为 自己 被 不 公 
平 对 待 的 人 。 

无 知 /好 奇 一 一 失误 和 破坏 了 信息 还 不 知道 破坏 了 什么 。 

黑客 道德 一 一 这 是 许多 人 成 为 黑客 人 物 的 动机 。 

仇恨 一 一 国家 和 民族 原因 。 

间谍 一 一 政治 和 军事 目的 的 谍报 工作 。 

商业 一 一 商业 竞争 ， 商 业 间 谍 。 

就 黑客 类 型 具体 地 说 明 他 们 不 同 的 动机 。 

白 帽 黑客 : 白 帽 黑客 不 干 坏事 ， 他 们 通常 是 计算 机 安全 专家 ， 擅 长 渗透 测试 和 其 
他 技术 ， 为 保护 企业 信息 系统 安全 立 下 汗马功劳 ， 所 谓 “ 道 高 一 尺 ， 魔 高 一 丈 ， 
白 帽 黑客 和 不 怀 好 意 的 黑客 将 会 长 期 共存 ， 一 直 战斗 下 去 。 

@ 。 黑 帽 黑客 : 与 白 帽 黑客 相反 ， 他 们 专 干 坏事 ， 黑 帽 黑 客 通常 指 的 是 那些 擅自 冯 入 
别人 网 络 或 计算 机 系统 的 人 ， 开 发 计算 机 病毒 的 人 也 属于 此 类 黑客 ， 黑 帽 黑客 在 
技术 上 往往 比 白 帽 黑客 更 高 超 ， 他 们 擅长 发 现 系统 漏洞 、 人 为 错误 或 懒惰 配置 ， 
也 有 能 力 发 明 一 种 新 型 攻击 ， 人 们 习惯 使 用 “Cracker” 来 称呼 黑 帆 黑客， 他 们 的 
动机 通常 都 是 为 了 钱 。 

@ ”脚本 小 子 : 脚本 小 子 自己 的 技术 并 不 好 ， 他 们 下 载 和 使 用 黑 帽 黑客 发 布 的 工具 到 
处 发 起 攻击 ， 得 退 后 喜欢 留 下 自己 的 绰号 以 示 炫 耀 。 

@ 黑客 活动 家 : 一 些 黑客 活动 率 受 政治 和 宗教 的 影响 展开 攻击 ， 有 时 是 为 了 实施 报 
复 ， 有 时 纯粹 是 为 了 娱乐 ， 有 时 只 不 过 是 骚扰 一 下 目标 。 

@ 国家 支持 的 黑客 : 政府 雇用 这 些 人 保护 他 们 的 军事 目标 ， 过 去 有 种 说 法 是 “ 谁 控 
制 了 海洋 ， 谁 就 控制 了 世界 ”， 后 来 演变 成 “ 谁 控制 了 天 空 ， 谁 就 控制 了 世界 ”， 
现在 变 成 了 “ 谁 控制 了 网 络 ， 谁 就 控制 了 世界 ”， 国 家 支持 的 黑客 可 以 不 限时 间 、 
不 限 资金 地 对 平民 、 企 业 和 政府 实施 监控 。 

@ 间谍 黑客 : 企业 聘请 黑客 渗入 竞争 对 手 内 部 ， 窃 取 商 业 机密 ， 间 谍 黑 客 的 目标 非 
常 明 确 ， 做 好 客户 交代 的 事 ， 拿 取 报 酬 ， 迅 速 撤退 。 

@ ”网 络 恐 怖 分 子 ， 这 部 分 人 通常 是 受 政治 和 宗教 信仰 的 驱使 ， 企 图 引起 民众 的 恐慌 
和 骚乱 ， 网 络 恐 怖 分 子 是 最 危险 的 ， 他 们 的 终极 目标 是 迅速 传播 带 有 恐吓 和 趾 惑 
人 心 的 谣言 ， 扰 乱 正常 的 社会 秩序 。 

就 黑客 拥有 的 这 些 技能 ， 其 实 可 以 做 一 些 有 益 于 他 人 的 事情 ， 比 如 : 写 开放 源码 的 软 
件 ; 帮助 测试 并 修改 开放 源码 的 软件 ， 公 布 有 用 的 信息 ， 帮助 维护 基础 设施 的 运转 ， 为 黑 
客 文化 本 身 服务 等 。 

图 2.2 为 黑客 攻击 复杂 度 与 所 需 入 侵 的 知识 关系 图 。 
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图 2.2 攻击 复杂 度 与 所 需 入 侵 知 识 关 系 图 


2.2.3 ”黑客 入 侵 攻 击 的 一 般 过 程 


随 着 黑客 活动 的 日 益 猛 狐 ， 信 息 安 全 问题 越 来 越 多 地 被 各 级 政府 和 网 络 管理 部 门 提 到 
重要 议事 日 程 上 来 。 黑 客 攻 击 网 络 的 手段 十 分 多 样 ， 令 人 防不胜防 。 分 析 和 研究 黑客 活动 
的 手段 和 采用 的 技术 ， 对 我 们 加 强 网 络 安全 建议 、 防 止 网 络 犯罪 有 很 好 的 借鉴 作用 。 本 小 
节 将 简要 介绍 黑客 攻击 网 络 的 一 般 过 程 以 及 常用 的 网 络 攻击 工具 。 

远程 攻击 的 一 般 过 程 如 下 。 

1) ”收集 被 攻击 方 的 有 关 信 息 ， 分 析 被 攻击 方 可 能 存在 的 漏洞 

黑客 首先 要 确定 攻击 的 目标 。 在 获取 目标 机 及 其 所 在 的 网 络 类 型 后 ， 还 需 进一步 获取 
有 关 信 息 ， 如 目标 机 的 人 P 地 址 、 操 作 系 统 类 型 和 版 本 、 系 统管 理 人 员 的 邮件 地 址 等 ， 根 据 
这 些 信 息 进行 分 析 ， 可 得 到 有 关 被 攻击 方 系统 中 可 能 存在 的 漏洞 。 如 运行 一 个 Host 命令 ， 
可 以 获得 目标 网 络 中 有 关机 器 的 IP 地 址 信息 ， 还 可 识别 出 目标 机 的 操作 系统 类 型 。 利 用 
Whois 查询 ， 可 了 解 技术 管理 人 员 的 名 字 信 息 。 运 行 一 些 User Net 和 Web 查询 可 了 解 有 关 
技术 人 员 是 否 经 常 上 User Net 等 。 

收集 有 关 技 术 人 员 的 信息 是 很 重要 的 。 系 统管 理 员 的 职责 是 维护 站 点 的 安全 。 当 他 们 
遇 到 问题 时 ， 有 些 人 会 迫不及待 地 将 问题 发 到 User Net 上 或 邮件 列表 上 寻求 解答 。 而 这 些 
邮件 中 往往 含有 他 们 的 组 织 结构 、 网 络 拓扑 和 所 面临 的 问题 等 信息 。 另 外 ， 若 一 个 系统 管 
理 员 经 常 在 安全 邮件 列表 或 论坛 中 讨论 各 种 安全 技术 和 问题 ， 就 说 明 他 有 丰富 的 经 验 和 为 
识 ， 对 安全 有 深入 的 了 解 ， 并 做 好 了 抵御 攻击 的 准备 。 反 之 ， 若 一 个 系统 管理 员 提 出 的 问 
题 是 初级 的 ， 甚 至 没有 理解 某 些 安全 概念 ， 则 说 明 此 人 经 验 不 丰富 ， 往 往 容易 成 为 黑客 个 
攻击 的 目标 。 

每 个 操作 系统 都 有 自己 的 一 套 漏洞 ， 有 些 是 已 知 的 ， 有 些 则 需要 仔细 研究 才能 发 现 。 
而 管理 员 不 可 能 不 停 地 阅读 每 个 平台 的 安全 报告 ， 因 此 极 有 可 能 对 某 个 系统 的 安全 特性 掌 


握 得 不 够 。 


通过 对 :| 


2) 


上 述 信息 的 分 析 ， 就 可 以 得 到 对 方 计算 机 网 络 可 能 存在 的 漏洞 。 
建立 模拟 环境 ， 进 行 模拟 攻击 ， 测 试 对 方 可 能 的 反应 
根据 第 一 步 所 获得 的 信息 ， 建 立 模拟 环境 ， 然 后 对 模拟 目标 机 进行 一 系列 的 攻击 。 


已 第 2 章 黑客 原理 与 防范 措施 


通 


而 


过 检查 被 攻击 方 的 日 志 ， 可 以 了 解 攻击 过 程 中 留 下 的 “痕迹 ”。 这 样 攻击 者 就 知道 需要 删 
除 哪些 文件 来 销毁 其 入 侵 证 据 。 
利用 适当 的 工具 进行 扫描 
收集 或 编写 适当 的 工具 ， 并 在 对 操作 系统 分 析 的 基础 上 ， 对 工具 进行 评估 ， 判 断 有 哪 


3) 


些 漏洞 和 
所 获 数据 进行 分 析 ， 发 现 安全 漏洞 ， 如 FTP 漏洞 、NFS 输出 
X 服务 器 访问 、 不 受 限制 的 调制 解 调 器 、Sendmail 的 漏洞 、NIS 口令 文件 访问 等 。 


4) 


实施 攻击 


区 域 没有 覆盖 到 。 然 后 在 尽 可 能 短 的 时 间 内 对 目标 进 


行 扫描 。 完 成 扫描 后 ， 可 对 
tH 到 未 授权 程序 中 、 不 受 限制 的 


根据 已 知 的 漏洞 ， 实 施 攻 击 。 通 过 猜测 程序 可 对 截获 的 用 户 账号 和 口令 进行 破译 ， 利 


< 


破译 程序 可 对 截获 的 系统 密码 文件 进行 破译 ;利用 网 络 和 系统 本 身 的 薄弱 环节 、 安 全 漏 
同 可 实施 电子 引诱 (如 安放 特洛伊 木马 ) 等 。 黑客 们 或 修改 网 页 进行 恶作剧 , 或 破坏 系统 程序 ， 


或 放 病毒 使 系统 陷入 瘫痪 ， 或 窃取 政治 、 军 事 、 商 业 秘密 ; 或 进行 电子 邮件 骚扰 ， 或 转移 
资金 账户 ， 窃 取 金 钱 等 。 


下 面 


i 介绍 常用 的 入 侵 工具 。 


1. 扫描 器 


在 Internet 安全 领域 ， 扫 描 器 是 最 出 名 的 破解 工具 。 所 谓 扫描 器 ， 实 际 上 是 


自动 检测 远 


程 或 本 地 主机 安全 性 弱点 的 程序 。 扫 描 器 选 通 TCP/IP 端口 和 服务 ， 并 记录 目标 机 的 回答 ， 


端口 扫描 器 ,五 
提示 什么 服务 可 


以 此 获得 关于 目标 机 的 信息 。 到 
素 。 常 用 的 扫描 器 有 很 多 ， 有 些 可 以 在 Internet 上 免费 得 到 ， 下 面 

NSS( 网 络 安全 扫描 器 ): 是 用 Perl 语言 编写 的 ， 可 执行 Sndmail、 匿 名 Ftp、NFS 出 
Tftp、Hosts、Equiv、Xhost 等 常规 检查 。Strobe( 超 级 优化 TCP 端 
以 记录 指定 机 器 的 所 有 开放 端口 ， 快 速 识别 指定 机 器 上 了 


以 被 攻击 。SATAN( 安 全 管理 员 的 网 络 分 析 工 具 ): 用 于 扫描 远程 主机 ， 发 


检测 程序 )， 是 一 个 TCP 
E 在 运行 什么 服务 ， 


E 解 和 分 析 这 些 信息 ， 就 可 能 发 现 破坏 目标 机 安全 性 的 关键 
做 一 些 简 要 介绍 。 


现 漏 洞 。 包括 FTPD 的 漏洞 和 可 写 的 FTP 目录 、NFS 漏洞 、NIS 漏洞 、RSH 漏洞 、Sendmail、 


X 服务 器 漏洞 等 。Jakal: 是 一 个 秘密 扫描 器 ， 它 启动 但 并 不 完成 与 
因此 可 以 扫描 一 个 区 域 而 不 留 下 任何 痕迹 ， 能 够 避 开 端口 扫描 探测 器 


IdengTCPScan: 是 一 个 更 加 专业 化 的 扫描 器 ， 能 够 识别 指定 TCP 端 


够 测 出 该 进程 的 UID。CONNECT: 用 于 扫描 TFTP 服务 器 子 网 。FSPScan: 
服务 器 。XSCAN: 扫描 具有 X 服务 器 漏洞 的 子 网 或 主机 。SAFESuite: 是 快速 、 先 进 、 全 


扫描 器 不 仅 是 黑客 有 


目 作 网 络 攻 击 的 工具 ， 也 是 维护 网 络 安全 的 


管理 人 员 必 须 学 会 使 用 扫描 器 。 


在 要 工 


目标 主机 的 SYN/ACK 
的 探测 追踪 。 

口 进程 的 使 用 者 ， 即 能 
于 扫描 FSP 


的 UNIX 网 络 安全 扫描 器 。 可 以 对 指定 网 络 执行 各 种 不 同 的 攻击 ， 探 测 网 络 环境 中 特定 
的 安全 漏洞 ， 包 括 Sendmail、TFP、NNTP、Telnet、RPC、NFS 等 。 
扫描 器 还 在 不 断 发 展 变化 ， 每 当 发 现 新 的 漏洞 ， 检 查 该 漏洞 的 功能 就 会 被 力 
扫描 器 中 。 


入 已 有 的 
具 。 系 统 


计算 机 网 络 安全 技术 加 


2. 口令 入 侵 

所 谓 口令 入 侵 ， 是 指 破解 口令 或 屏蔽 口令 保护 。 但 实际 上 ， 真 正 的 加 密 口令 是 很 难道 
向 破解 的 。 黑 客 们 常用 的 口令 入 侵 工具 所 采用 的 技术 是 仿真 对 比 ， 利 用 与 原 口 令 程序 相同 
的 方法 ， 通 过 对 比分 析 ， 用 不 同 的 加 密 口 令 去 匹配 原 口令 。 

Internet 上 大 多 数 服务 器 运行 的 是 UNIX 或 类 UNIX 操作 系统 。 在 UNIX 平台 上 ， 用 户 
登录 ID 和 口令 都 存放 在 etc/password 中 。UNIX 以 数据 加 密 标准 DES 为 基础 ， 以 ID 为 密 
钥 , 对 口令 进行 加 密 。 而 加 密 算法 Crypt(3) 是 公开 的 。 虽然 加 密 算 法 分 开 ， 但 目前 还 没有 能 
够 逆向 破解 其 加 密 信息 的 方法 。 

黑客 们 破解 口令 的 原理 大 致 如 下 : 首先 将 大 量 字 表 中 的 单词 用 一 定 规则 进行 变换 ， 再 
用 加 密 算法 进行 加 密 ， 看 是 否 与 etc/password 文件 中 加 密 口令 相 匹配 者 : 车 有 ， 则 口令 很 可 
能 被 破解 。 单 词 变换 的 规则 一 般 有 : 大 小 写 交 蔡 使 用 ， 把 单词 正 向 、 反 向 拼写 后 ， 接 在 一 
起 (如 cannac); 在 每 个 单词 的 开头 和 /或 结尾 加 上 数字 1 等 。 同 时 ， 在 Internet 上 有 许多 字 表 
可 用 。 如果 用 户 选择 口令 不 恰当 , 口令 落 入 了 字 表 库 , 一 旦 黑客 们 获得 了 etc/password 文件 ， 
基本 上 就 等 于 完成 了 口令 破解 任务 。 

3. 特洛伊 木马 (Trojan Horse) 

所 谓 特洛伊 木马 是 指 任何 提供 了 隐藏 的 、 不 希望 用 户 了 解 功 能 的 程序 。 它 可 以 以 任何 
形式 出 现 ， 可 能 是 任何 由 用 户 或 客户 引入 到 系统 中 的 程序 。 特 洛 伊 程 序 提供 或 隐藏 了 一 些 
功能 ， 这 些 功 能 可 以 泄露 一 些 系统 的 私有 信息 ， 或 者 控制 该 系统 。 

特洛伊 程序 表面 上 是 无 害 的 、 有 用 的 程序 , 但 实际 上 潜伏 着 很 大 的 危险 , 如 在 Wuarchive 
FTP daemon(ftpd)2.2 版 中 发 现 有 特洛伊 程序 ， 该 特洛伊 程序 允许 任何 用 户 ( 本 地 的 和 远 端 的 ) 
以 Root 账户 登录 UNIX。 这 样 的 特洛伊 程序 可 以 导致 整个 系统 被 侵入 ， 因 为 它 很 难 被 发 现 ， 
在 它 被 发 现 之 前 ， 可 能 已 经 存在 几 个 星期 甚至 几 个 月 了 ; 而 且 在 这 段 时 间 内 ， 具 备 了 Root 
权限 的 入 侵 者 ， 可 以 将 系统 按照 他 的 需要 进行 修改 。 这 样 ， 即 使 这 个 特洛伊 程序 被 发 现 了 ， 
在 系统 中 也 留 下 了 系统 管理 员 可 能 没有 注意 到 的 漏洞 。 

4. 网 络 嗅 探 器 (Sniffer) 

Sniffer 用 来 截获 网 络 上 传输 的 信息 ， 用 在 以 太 网 或 其 他 共享 传输 介质 的 网 络 上 。 在 以 
太 网 上 放置 Sniffer， 可 使 网 络 接口 处 于 广播 状态 ， 从 而 截获 网 上 传输 的 信息 。 利 用 Sniffer 
可 截获 口令 、 秘 密 的 和 专 有 的 信息 ， 用 来 攻击 相 邻 的 网 络 。Sniffer 的 威胁 还 在 于 被 攻击 方 
无 法 发 现 ， 因 为 Sniffer 是 被 动 的 程序 ， 本 身 在 网 络 上 不 留 下 任何 痕迹 。 

常用 的 Sniffer 有 : Gobbler、ETHLOAD、Netman、Esniff.c、Linux Sniffer.c、 
NitWitc 等 。 


5. 破坏 装置 


常见 的 破坏 装置 有 邮件 炸弹 和 病毒 。 其 中 邮件 炸弹 的 危害 性 较 小 ， 而 病毒 的 危害 性 则 
很 大 。 


g 件 炸弹 是 指 不 停 地 将 无 用 信息 传送 给 被 攻击 方 ， 填 满 对 方 的 邮件 信箱 ， 使 其 无 法 接 
收 有 用 信息 。 另 外 ， 邮 件 炸 弹 也 可 以 导致 邮件 服务 器 的 拒绝 服务 。 
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伟 ，2.3 目标 系统 的 探测 方法 


2.3.1 常用 的 网 络 探 测 方法 


功能 
对 采 


来 进 


集 到 的 信息 进行 分 析 和 处 理 。 


络 探测 是 指 在 一 个 网 络 管理 系统 中 网 管 信 息 的 收集 ， 它 是 实现 各 种 复杂 的 网 络 管理 


的 基础 。 在 网 管 系统 的 基本 实现 过 程 中 ， 依 赖 于 管理 站 来 采集 网 络 中 的 各 种 信息 ， 并 


行 保护 ， 对 于 一 般 的 主机 来 说 ， 主 要 有 以 下 几 种 方法 。 


1. 基于 80 端口 入 侵 的 检测 
WWW 服务 大 概 是 最 常见 的 服务 之 一 了 ， 而 且 


络 检测 主要 还 是 根据 应 用 来 进行 ， 提 供 了 相应 的 服务 就 应 该 有 相应 的 检测 分 析 系统 


由 于 这 个 服务 面 对 广大 用 户 ， 服 务 的 流 


量 和 复杂 度 都 很 高 ， 因 此 针对 这 个 服务 的 漏洞 和 入 侵 技 巧 也 最 多 。 对 于 NT 来 说 ，IIS 一 直 
是 系统 管理 员 比 较 头 疼 的 一 部 分 , 不 过 好 在 IIS 自 带 的 日 志 功 能 从 某 种 程度 上 可 以 成 为 入 侵 
的 得 力 帮 手 。IIS 自 带 的 日 志文 件 默认 存放 在 System32/LogFiles 目录 下 ， 一 般 是 按 24 
小 时 滚动 的 ， 在 IIS 管理 器 中 可 以 对 它 进行 详细 的 配置 。 


检测 


配置 


(Method)、URI 资源 (URI Stem)、 


cripts/ 


让 我 


的 


自 设 一 台 Web 服务 器 开放 了 WWW 服务 ,你 是 这 台 服 务 器 的 系统 管理 员 , 已 经 小 心地 
了 IIS， 使 用 W3C 扩展 的 日 志 格式 ， 并 记录 了 时 间 (Time)、 客 户 端 P(Client IP)、 方 法 
URI 查询 (URI Query)， 协 议 状态 (Protocol Status)， 我 们 用 
最 近 比 较 流 行 的 Unicode 漏洞 来 进行 分 析 : 打开 IE 窗口 ， 在 地 址 栏 输入 : 127.0.0.1/s 
..%c1% 1c../winnt/system32/cmd.exe?/ctdir， 在 默认 的 情况 下 ， 你 可 以 看 到 目录 列表 ， 
们 来 看 看 IIS 的 日 志 都 记录 了 些 什么 , 打开 Ex010318.log(Ex 代表 W3C 扩展 格式 , 后 面 
数字 代表 日 志 的 记录 日 期 )， 假 如 出 现 : 07:42:58 127.0.0.1/getscripts /.\./winnt/ 


system32\cmd.exe /ctdir， 这 行 日 志 表 示 在 格林 尼 治 时 间 07:42:58( 就 是 北京 时 间 23:42:58)， 
有 一 个 入 侵 者 从 127.0.0.1 的 人 P 在 你 的 机 器 上 利用 Unicode 漏洞 (%c1%1c 被 解码 为 “\”， 
的 情况 会 因为 Windows 版 本 的 不 同 而 有 略微 的 差别 ) 运 行 了 cmd.exe， 参 数 是 “/c dir”， 


实际 


运行 


结果 成 功 (HTTP 200 代表 正确 返回 )。 


大 多 数 情况 下 ，“C:NWINDOWS\system32\LogFiles\” 的 IIS 


到 的 任何 请 求 (也 有 特殊 的 不 被 IS 记录 的 攻击 ， 这 个 我 们 以 后 再 讨论 )。 但 是 ，IS 
轰 数 十 兆 (流量 大 的 网 站 甚至 数 万 兆 )， 人工 检查 几乎 没有 可 能 ， 唯 一 的 选择 就 是 使 


析 软 


件 ， 用 任何 语言 编写 一 个 日 志 分 析 软 件 ( 其 实 就 是 文本 过 滤器 ) 都 非常 简单 
如 果 你 想 知 道 有 没有 人 从 80 端口 上 试图 取得 你 Global.asa 文件 , 可 以 使 


日 志 会 忠实 地 记录 它 接收 


的 日 志 动 


日 志 分 


以 下 的 命令 : 


find "Global.asa" ex010318.log i。 这 个 命令 使 用 的 是 NT 自 带 的 find.exe 工具 ， 用 该 命令 可 
以 轻松 地 从 文本 文件 中 找到 你 想 过 滤 的 字符 串 ， 
ex010318.log 是 待 过 滤 的 文本 文件 ， 有 i 代表 忽略 大 小 写 。 
户 都 可 以 建立 一 张 敏感 字符 串 列表 ， 包 


含 已 有 的 IIS 漏洞 (比如 "+.htr") 以 及 未 来 将 要 出 现 的 漏洞 可 能 会 调 


无 论 是 基于 日 志 分 析 软 件 或 者 是 find 命令 ， 用 


“Globalasa” 是 需要 查询 的 字符 串 ， 


的 资源 (比如 Global.asa 
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或 者 cmd.exe)， 通 过 过 滤 这 张 不 断 更 新 的 字符 串 表 ， 可 以 尽早 了 解 入 侵 者 的 行动 。 

需要 提醒 的 是 ， 使 用 任何 日 志 分 析 软 件 都 会 占用 一 定 的 系统 资源 ， 因 此 ， 对 于 IIS 日 志 
分 析 这 样 低 优先 级 的 任务 ， 在 夜里 空闲 时 自动 执行 会 比较 合适 ， 如 果 再 写 一 段 脚 本 把 过 滤 
后 的 可 疑 文本 发 送 给 系统 管理 员 ， 那 就 更 加 完美 了 。 同 时 ， 如 果 敏 感 字符 串 表 较 大 ， 过 滤 
策略 复杂 ， 笔 者 建议 还 是 用 C 语言 写 一 个 专用 程序 会 比较 方便 。 


2. 基于 安全 日 志 的 检测 


通过 基于 IIS 日 志 的 入 侵 监测 ， 我 们 能 提前 知道 窥 伺 者 的 行踪 (如 果 你 处 理 失当 ， 罕 伺 
者 随时 会 变 成 入 侵 者 )， 但 是 IIS 日 志 不 是 万 能 的 ， 它 在 某 种 情况 下 甚至 不 能 记录 来 自 80 端 
口 的 入 侵 ， 根 据 IIS 日 志 系 统 的 功能 原理 ，IIS 只 有 在 一 个 请 求 完 成 后 才 会 写 入 日 志 ， 换 言 
之 ， 如 果 一 个 请 求 中 途 失 败 ， 日 志文 件 中 是 不 会 有 它 的 踪影 的 (这 里 的 中 途 失 败 并 不 是 指 发 
生 HTTP 400 错误 这 样 的 情况 ， 而 是 从 TCP 层 上 没有 完成 HTTP 请 求 ， 例 如 在 POST 大 量 
数据 时 异常 中 断 )， 对 于 入 侵 者 来 说 ， 利 用 这 一 点 ， 就 有 可 能 绕 过 日 志 系统 完成 大 量 的 活动 。 

而 且 ， 对 于 非 80 端口 的 主机 ， 入 侵 者 也 可 以 从 其 他 的 途径 进入 服务 器 ， 因 此 ， 建 立 一 
套 完整 的 安全 监测 系统 是 非常 必要 的 。 

Win 2008 自 带 了 相当 强大 的 安全 日 志 系统 ， 从 用 户 登录 到 特权 的 使 用 都 有 非常 详细 的 
记录 ， 可 惜 的 是 ， 默 认 安装 下 安全 审核 是 关闭 的 ， 以 至 于 一 些 主机 被 攻击 后 根本 没 办 法 追 
踪 入 侵 者 。 所 以 ， 我 们 必须 要 做 的 就 是 通过 执行 【管理 工具 】 一 【本 地 安全 策略 】 一 【本 
地 策略 】 一 【审核 策略 】 命 令 ， 打 开 必 要 的 审核 ， 一 般 来 说 ， 登 录 事件 与 账户 管理 是 我 们 
最 关心 的 事件 ， 同 时 打开 成 功 和 失败 审核 非常 必要 ， 其 他 的 审核 也 要 打开 失败 审核 ， 这 样 
可 以 使 得 入 侵 者 举步维艰 ， 一 不 小 心 就 会 露出 马 脚 。 仅 仅 打开 安全 审核 并 没有 完全 解决 问 
题 ， 如果 没 有 很 好 地 配置 安全 日 志 的 大 小 及 覆盖 方式 ,一 个 老练 的 入 侵 者 还 是 能 够 通过 “ 洪 
水 ? 般 的 伪造 入 侵 请 求 覆 盖 他 真正 的 “行踪 ”。 通常 情况 下 , 将 安全 日 志 的 大 小 指定 为 50MB， 
且 只 允许 覆盖 7 天 前 的 日 志 可 以 避免 上 述 情 况 的 出 现 。 

除了 安全 日 志 外 ， 系 统 日 志和 应 用 程序 日 志 也 是 非常 好 的 辅助 监测 工具 ， 一 般 来 说 ， 
入 侵 者 除了 在 安全 日 志 中 留 下 痕迹 (如 果 他 拿 到 了 Admin 权限 ， 那 么 他 一 定 会 去 清除 痕迹 )， 
在 系统 和 应 用 程序 日 志 中 也 会 留 下 蛛丝马迹 ， 作 为 系统 管理 员 ， 要 有 不 放 过 任何 异常 的 态 
度 ， 这 样 入 侵 者 就 很 难 隐藏 他 们 的 “行踪 ”了 。 
3. 文件 访问 日 志 与 关键 文件 保护 


除了 系统 默认 的 安全 审核 外 ， 对 于 关键 的 文件 ， 我 们 还 要 加 设 文件 访问 日 志 ， 记 录 对 
它们 的 访问 。 文 件 访问 有 很 多 的 选项 : 访问 、 修 改 、 执 行 、 新 建 、 属 性 更 改 …… 一 般 来 说 ， 
关注 访问 和 修改 就 能 起 到 很 好 的 监视 作用 。 

例如 , 如 果 我 们 监视 了 系统 目录 的 修改 、 创建 , 甚至 部 分 重要 文件 的 访问 (例如 cmd.exe， 
net.exe，system32 目录 )， 那 么 ， 入 侵 者 就 很 难 在 不 引起 我 们 注意 的 情况 下 安放 后 门 程序 。 
要 注意 的 是 ， 监 视 的 关键 文件 和 项 目 不 能 太 多 ， 和 否则 不 仅 增加 系统 负担 ， 还 会 扰乱 日 常 的 
日 志 监测 工作 。 关 键 文件 不 仅仅 指 的 是 系统 文件 ， 还 包括 有 可 能 对 系统 管理 员 和 其 他 用 户 
构成 危害 的 任何 文件 ， 例 如 系统 管理 员 的 配置 、 桌 面 文件 等 ， 这 些 都 是 有 可 能 被 用 来 窃取 
系统 管理 员 资料 和 密码 的 。 
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4. 进程 监控 
进程 监控 技术 是 追踪 木马 、 后 门 程序 的 一 个 有 力 武 器 ,90% 以 上 的 木马 和 后 门 程序 是 以 
进程 的 形式 存在 的 。 作 为 系统 管理 员 ， 了 解 服务 器 上 运行 的 每 个 进程 是 职责 之 一 (否则 不 要 
说 安全 ， 连 系统 优化 都 没有 办 法 做 )。 做 一 份 每 台 服 务 器 运行 进程 的 列表 非常 必要 ， 能 帮助 
管理 员 快 速 发 现 入 侵 进程 ， 异 常 的 用 户 进程 或 者 异常 的 资源 占用 都 有 可 能 是 非法 进程 。 除 
了 进程 外 ，dll 也 是 危险 的 东西 ， 例 如 把 原本 是 .exe 类 型 的 木马 改写 为 .dll 后 ， 使 用 rundll32 
运行 就 比较 具有 迷惑 性 。 

5. 注册 表 校 验 

一 般 来 说 ， 木 马 或 者 后 门 程序 都 会 利用 注册 表 来 运行 自己 ， 所 以 ， 通 过 注册 表 校 验 来 
发 现 入 侵 也 是 常用 的 手法 之 一 。 一 般 来 说 ， 如 果 一 个 入 侵 者 只 懂得 使 用 流行 的 木马 ， 那 么 
由 于 普通 木马 只 能 写 入 特定 的 几 个 键 值 (比如 Run、Runonce 等 )， 查 找 起 来 是 相对 容易 的 ， 
但 是 对 于 可 以 自己 编写 或 改写 木马 的 人 来 说 ， 注 册 表 的 任何 地 方 都 可 以 藏身 ， 靠 手工 查找 
就 没有 可 能 了 。 应 对 的 方法 是 校 验 注 册 表 的 任何 改动 ， 这 样 改写 注册 表 的 木马 就 无 法 通 形 
了 。 校 验 注册 表 的 软件 非常 多 ， 很 多 追查 木马 的 软件 都 带 有 这 样 的 功能 ， 一 个 监控 软件 加 
上 定期 对 注册 表 进 行 备 份 ， 万 一 注册 表 被 非 授权 修改 ， 系 统管 理 员 也 能 在 最 短 的 时 间 内 
恢复 。 

6. 端口 监控 

虽然 说 不 使 用 端口 的 木马 程序 已 经 出 现 ， 但 是 大 部 分 的 后 门 程序 和 木马 程序 还 是 使 用 
TCP 连接 的 ， 监 控 端 口 的 状况 对 于 由 于 种 种 原因 不 能 封锁 端口 的 主机 来 说 就 是 非常 重要 的 
了 。 对 于 系统 管理 员 来 说 ， 了 解 自 己 服务 器 上 开放 的 端口 甚至 比 对 进程 的 监控 更 加 重要 ， 

常常 使 用 Netstat 查看 服务 器 的 端口 状况 是 一 个 良好 的 习惯 , 但 是 并 不 能 24 小 时 这 样 做 ， 而 

且 NT 的 安全 日 志 有 一 个 缺陷 ， 喜 欢 记录 机 器 名 而 不 是 PP， 如 果 你 既 没有 防火 墙 又 没有 入 
侵 检测 软件 ， 倒 是 可 以 用 脚本 来 进行 人 P 日 志 记录 。 例 如 : netstat -n -p tcp 10>>Netstat.log， 
这 个 命令 每 10 秒 钟 自动 查看 一 次 TCP 的 连接 状况 ， 基 于 这 个 命令 我 们 做 一 个 Netlog.bat 文 
件 : time /t>>Netstat.log Netstat -n -p tcp 10>>Netstat.log， 这 个 脚本 将 会 自动 记录 时 间 和 TCP 
连接 状态 。 需 要 注意 的 是 ， 如 果 网 站 访问 量 比较 大 ， 这 样 的 操作 是 需要 占用 一 定 的 CPU 时 
间 的 ， 而 且 日 志文 件 将 越 来 越 大 ， 所 以 在 使 用 时 应 慎之 又 慎 。 

一 旦 发 现 异 常 的 端口 ， 可 以 使 用 特殊 的 程序 来 关联 端口 、 可 执行 文件 和 进程 (如 Inzider 
就 有 这 样 的 功能 ， 它 可 以 发 现 服务 器 监听 的 端口 并 找 出 与 该 端口 关联 的 文件 ，Inzider 可 以 
从 http://www.Nttoolbox.com 下 载 )， 这 样 无 论 是 使 用 TCP 还 是 UDP 的 木马 都 无 处 藏身 。 

7. 防护 技术 

早期 的 防护 技术 只 是 一 个 伪装 的 端口 服务 用 来 监测 扫描 ， 随 着 “ 矛 ” 和 “ 盾 ” 的 不 断 
升级 ， 现 在 的 陷阱 服务 或 者 陷阱 主机 已 经 越 来 越 完善 ， 越 来 越 像 真正 的 服务 ， 不 仅 能 截获 
半 开 式 扫描 ， 还 能 伪装 服务 器 一 端的 回应 并 记录 入 侵 者 的 行为 ， 从 而 帮助 网 络 管理 人 员 判 
断 入 侵 者 的 身份 。 


计算 机 网 络 安全 技术 加 


2.3.2 ”扫描 器 概述 


计算 机 网 络 的 迅猛 发 展 引发 了 人 们 对 网 络 安全 的 高 度 重 视 。 如 何 实时 地 找 出 网 络 系统 
的 弱点 ， 有 效 地 定期 评估 、 稽 核 自 身 网 络 安全 状况 ， 成 了 当前 许多 单位 和 部 门 最 关心 的 问 
题 。 在 这 种 情况 下 ， 网 络 安全 扫描 器 成 为 防范 网 络 入 侵 的 有 力 工具 。 

网 络 安全 扫描 器 是 一 种 自动 检测 远程 和 本 地 主机 安全 性 弱点 的 程序 包 ， 它 通过 与 目标 
主机 TCP/IP 端口 建立 连接 并 请 求 某 些 服务 (如 Telnet、FTP 等 ) 记 录 目 标 主 机 的 应 答 ， 搜 集 
目标 主机 相关 信息 (如 匿名 用 户 是 否 可 以 登录 等 )、 从 而 发 现 目标 主机 某 些 内 在 的 安全 弱点 。 
前 文 讲 过 ， 网 络 入 侵 的 过 程 一般 是 入 侵 者 先 利 用 扫描 器 对 要 入 侵 的 目标 进行 扫描 ， 找 到 目 
标 系统 的 漏洞 和 脆弱 点 ， 然 后 进行 攻击 ， 因 此 扫描 器 是 入 侵 者 在 入 侵 时 首先 用 到 的 工具 。 
对 于 安全 管理 员 来 说 ， 要 做 的 首要 工作 也 应 该 是 利用 扫描 器 扫描 系统 ， 发 现 系 统 的 漏洞 和 
脆弱 点 后 采取 相应 的 补救 措施 。 所 以 说 扫描 器 是 “一 把 双 刃 剑 ”。 

网 络 扫描 器 的 出 发 点 是 一 个 系统 管理 员 能 够 确保 系统 安全 的 最 佳 途径 是 考虑 一 个 入 侵 
者 将 如 何 侵入 系统 。 简 单 地 说 ， 扫 描 器 的 工作 原理 就 是 模拟 攻击 者 的 手法 主动 地 探测 目标 
系统 ， 发 现 目标 系统 中 可 能 存在 的 各 种 安全 问题 ， 将 扫描 结果 报告 给 用 户 ， 并 向 用 户 提 人 
该 漏洞 的 相应 解决 方法 ， 从 而 提高 网 络 和 系统 的 安全 ， 保 证 网 络 免 遭 恶意 用 户 利用 该 漏洞 
实施 的 攻击 。 对 于 系统 扫描 器 ， 存 放 的 是 一 些 规 则 ， 例 如 什么 样 的 文件 是 不 能 完全 访问 的 
等 ， 也 就 是 一 些 限制 信息 。 如 果 是 网 络 扫描 器 ， 存 放 的 是 系统 的 常见 漏洞 信息 。 

经 典 的 系统 扫描 器 是 基于 主机 的 安全 评估 系统 ， 主 要 用 来 检测 系统 中 无 效 错误 的 文件 
目录 以 及 许可 权 ， 不 可 靠 的 指令 ， 不 安全 的 口令 和 组 文件 ， 文 件 中 不 安全 的 SUID、SGID 
位 ， 文 件 的 完整 性 。 而 网 络 扫描 器 是 对 网 络 或 者 系统 网 络 服务 作 扫 描 ， 主 要 完成 的 工作 是 
检验 系统 提供 的 服务 安全 度 [FTP、Telnet、NFS(Network File System)、RSH(Remote ShelD)、 
Read 访问 、Sendmail 漏洞 、TFTP(Trivial File Transfer Protocol) 漏 洞 、X 服务 器 的 安全 和 访 
问 控制 等 ]。 

网 络 扫描 技术 分 为 侦查 扫描 和 端口 扫描 两 种 ， 下 面 分 别 具 体 介绍 这 两 种 技术 。 


1. 侦查 扫描 


侦察 扫描 是 利用 各 种 网 络 协议 产生 的 数据 包 以 及 网 络 协议 本 身 固 有 的 性 质 进 行 扫描 。 
其 目的 是 确认 目标 系统 是 否 处 于 激活 状态 ， 获 取 目 标 系统 信息 。 常 用 的 扫描 方法 是 Ping 
Sweeps、UDP-Sweeps、 操 作 系统 确认 扫描 等 。 

Ping Sweeps(Ping 扫描 方式 ) 是 简单 发 现 一 个 人 P 范围 内 的 主机 是 否 处 于 激活 状态 的 扫描 
方法 .有 三 种 Ping 扫描 方式 :第 一 种 是 简单 地 发 送 ICMP ECHO 请 求 ,然后 等 待 ICMP ECHO 
应 答 。 如 果 收 到 了 应 答 ， 就 认为 目标 是 激活 状态 ， 其 实 就 是 使 用 常规 的 Ping 命令 。 如 果 想 
阻止 对 这 样 的 ICMP ECHO 应 答 ， 只 需要 禁止 ICMP ECHO 即 可 。 第 二 种 是 广播 ICMP， 向 
整个 局 域 网 发 送 ICMP ECHO 请 求 。 这 样 的 请 求 会 被 广播 到 整个 局 域 网 , 网 中 激活 的 主机 会 
回 送 ICMP ECHO 应 答 。UNIX 系统 对 于 请 求 常常 回 送 网 络 地 址 ， 而 Windows 系统 常常 忽 
略 。 第 三 种 是 Non-ECHO ICMP 。 阻 止 前 来 的 ICMP ECHO 是 不 够 的 ， 可 以 使 用 
Non-ECHOICMP 协议 收集 一 个 系统 信息 。 例 如 使 用 ICMPtype13 消息 (时 间 戳 ) 以 及 ICMP 
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type17 消息 (地 址 掩 码 请 求 ). 用 ICMP 时 间 惟 请 求 和 应 答 , 你 可 以 得 到 目标 的 当时 时 间 ;ICMP 
地 址 掩 码 请 求 ， 可 以 在 无 盘 系 统 启动 引导 程序 时 ， 得 到 它 的 网 络 掩 码 。 可 以 
icmpush&icmquery 工具 来 实现 这 样 的 扫描 。 许 多 防火 墙 通过 配置 只 是 阻止 ICMP ECHO 
描 ， 而 没有 阻止 这 样 的 扫描 。 执 行 【开始 】 一 【运行 】 命 令 ， 在 打开 的 对 话 框 中 输入 cmd。 
假设 本 机 IP 地 址 为 127.0.0.1， 执 行 ping 扫描 命令 后 的 扫描 结果 如 图 2.3 所 示 ; 图 2.4 所 示 
为 在 cmd 下 输入 ping -n 10 192.168.25.171， 向 192.168.25.171 发 送 10 个 数据 包 。 


出 


图 2.3 ping 扫描 结果 图 2.4 使 用 ping 命令 发 送 数据 包 


UDP Sweeps(UDP 扫描 方式 ) 与 TCP 扫描 相 比 不 是 很 容易 实现 ， 因 为 它 无 连接 协议 ， 
又 可 能 被 路 由 器 丢弃 。 如 果 一 个 UDP Sweeps 扫描 的 端口 不 是 处 于 激活 状态 ， 目 标 会 发 回 一 
个 ICMP PORT UNRECH-ABLE 应 答 消息 。 另 一 个 问题 是 许多 的 UDP 服务 并 不 对 UDP 
Sweeps 应 答 。 送 回来 的 如 果 是 UDPPORT UNRECHABLE, 这 就 说 那个 UDP 端口 没有 开放 。 
而 且 对 于 防火 墙 来 说 , UDP 数据 包 也 可 能 被 故意 丢弃 , 所 以 使 用 UDP 扫描 是 非常 不 可 靠 的 。 
但 是 UDP 扫描 有 一 个 好 处 就 是 能 够 使 用 IP 广播 地 址 ， 一 个 允许 UDP 数据 包 的 网 络 ， 可 以 
送 一 个 UDP 数据 包 到 一 个 广播 地 址 的 高 端 端口 。 如 果 那 个 端口 没有 过 滤 掉 这 个 UDP 数据 
包 ， 那 么 扫描 者 就 可 以 从 目标 网 络 得 到 许多 的 ICMP PORT UNRECHABLE 消息 。 

2. 端口 扫描 

端口 扫描 是 要 得 到 目标 系统 的 所 能 提供 的 服务 信息 ， 它 主要 是 TCP/IP 端口 扫描 。 通常 
端口 是 一 般 服务 常用 的 端口 ， 比 如 21(FTP)、23(TEL-NET)、25(SMTP)、80(HTTP) 等 。 它 逐 
个 尝试 与 端口 建立 连接 ， 然 后 根据 端口 与 服务 的 对 应 关系 综合 服务 器 端的 反应 判断 目标 系 
统 上 运行 了 哪 一 种 服务 。 如 果 错 误 地 配置 网 络 服务 ， 以 及 使 用 的 网 络 守护 软件 有 被 公开 的 
漏洞 ,就 很 可 能 会 让 入 侵 者 得 到 方便 之 门 。 例 如 开放 Finger、RPC、FTP、Telnet、Login(Rlogin)、 
Smtp 等 服务 ， 因 为 没有 很 好 的 保护 机 制 ， 很 容易 让 入 侵 者 侵入 系统 。 

TCP 扫描 一 般 都 是 根据 TCP 数据 的 设置 、“ 三 次 握手 ”中 的 交互 出 现 的 问题 来 扫描 的 。 
TCP 端口 扫描 方式 有 以 下 几 种 。Q@TCP Connect 扫描 。 这 是 最 简单 的 扫描 方式 ， 利 用 TCP 
协议 的 “三 次 握手 ”。 扫 描 者 发 送 一 个 SYN 数据 包 ， 等 待 目标 机 反应 。 如 果 目 标 机 返回 的 
是 SYN/ACK 数据 包 ， 证明 目标 端口 是 处 于 监听 状态 ， 如 果 返 回 的 是 RST/ACK 数据 包 ， 证 
明 目 标 端口 不 处 于 监听 状态 , 而且 连接 将 被 置 为 RESET, 即 该 端口 不 开放 。 当 收 到 SYN/ACK 
时 ， 扫 描 者 再 发 送 ACK 数据 包 ， 就 完成 一 次 完全 连接 。@ TCP SYN 扫描 。 这 种 技术 通常 
认为 是 “ 半 开 放 ” 扫 描 ， 这 是 因为 扫描 程序 不 需要 打开 一 个 完全 的 TCP 连接 。 扫 描 程序 作 
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为 客户 端 ， 不 发 送 最 后 一 个 ACK 包 ， 这 样 服务 器 端 认为 没有 建立 一 次 TCP 连接 ， 因 此 不 
会 在 系统 的 审计 记录 中 留 下 痕迹 。GTCP FIN 扫描 。 FIN 扫描 使 用 FIN 数据 包 。 扫描 者 使 用 
FIN 数据 包 等 待 目标 应 答 。 如 果 该 端口 是 开放 的 ， 则 这 个 FIN 包 被 忽略 ， 如 果 该 端口 是 关 
闭 的 ， 则 返回 一 个 RST 包 。 通 过 识别 这 种 差别 ， 扫 描 程 序 就 可 以 判断 出 端口 的 开放 情况 。 
GTCP Fragmentation 扫描 。 前 几 种 扫描 方式 都 不 能 通过 防火 墙 ， 因 为 防火 墙 通常 只 允许 以 
少数 几 个 端口 为 目的 端口 的 TCP 报 通 过 ， 这 样 无 法 达到 大 面积 的 扫描 目的 。 但 通过 把 一 个 
TCP 报 分 割 到 多 个 IP 包 中 ， 可 使 防火 墙 无 法 从 一 个 IP 包 中 找到 完整 的 TCP 报头 ， 从 而 无 
法 进行 过 滤 。 上 述 几 种 扫描 方式 中 ， 方 法 @ 不 需要 特殊 权限 ;方法 @ 和 @@ 都 需要 程序 打开 
Raw Socket， 自 己 拼装 TCP/IP 包 ， 这 是 需要 超级 用 户 权限 的 。 

另外 还 有 其 他 扫描 技术 ， 例 如 域 查询 回答 扫描 (Domain Query Answer Scan)、 代 理 /FTP 
跳 扫 描 (Proxy Scanning/FTP Bounce Scanning)、RE-SET 扫描 、XMAS( 圣 诞 树 ) 扫 描 、NULL 
扫描 等 。 

现在 比较 好 的 扫描 器 大 多 采用 客户 端 /服务 器 架构 。 

扫描 器 客户 机 对 扫描 目标 、 扫 描 范围 、 扫 描 / 攻 击 方法 等 选项 进行 设置 ， 然 后 自动 进行 
测试 ， 用 户 可 以 中 断 测试 过 程 。 测 试 时 显示 当前 每 台 主机 的 扫描 状态 。 测 试 结束 后 ， 报 告 
扫描 结果 ， 对 查找 出 的 安全 脆弱 性 和 漏洞 提出 改进 措施 。 扫 描 器 服务 器 根据 客户 机 提供 的 
选项 和 指令 ， 调 用 各 种 扫描 /攻击 方法 ， 进 行 安全 性 测试 。 对 每 一 个 搜索 到 的 主机 ， 扫 描 器 
服务 器 生成 一 个 线程 进行 检测 。 该 线程 首先 扫描 远程 主机 端口 ， 然 后 调用 扫描 /攻击 方法 库 
中 的 扫描 和 攻击 方法 检测 远程 主机 。 在 该 过 程 中 ， 服 务 器 向 客户 端 返回 扫描 /攻击 状态 ， 并 
接受 客户 机 的 指令 。 扫 描 / 攻 击 方法 库 实质 上 是 许多 共享 程序 库 ( 动 态 链接 库 ) 的 集合 。 其 中 
每 一 个 共享 程序 库 都 是 一 种 扫描 和 攻击 方法 ， 而 且 采 用 可 扩展 的 插件 结构 。 扫 描 /攻击 方法 
库 中 存储 各 种 扫描 和 攻击 方法 。 扫 描 器 服务 器 测试 时 调用 其 中 的 方法 对 目标 主机 进行 扫描 / 
攻击 。 


2.3.3 ”专用 扫描 器 


比较 常用 的 专用 扫描 器 有 CGI 扫描 器 、Asp 扫描 器 、 从 各 个 主要 端口 取得 服务 信息 的 
扫描 器 、 获 取 操 作 系 统 敏 感 信息 的 扫描 器 、 数 据 库 扫 描 器 、 远 程控 制 系统 扫描 器 。 下 面 就 
CGI 扫描 器 做 具体 的 介绍 。 

CGI(Common Gate Interface) 是 运行 在 Server 上 的 提供 同 客户 段 Html 页 面 的 接口 .CGI 
应 用 程序 分 为 两 部 分 。 一 部 分 是 Html 页 面 ， 即 用 户 看 到 的 东西 ， 另 一 部 分 则 是 运行 在 服务 
器 上 的 程序 。Shell 脚本 、Perl 程序 和 C 可 执行 程序 是 CGI 脚本 最 常 采用 的 形式 。Shell 脚本 
般 用 于 小 的 、 快 速 的 甚至 可 以 用 完 就 不 要 的 CGI 程序 ， 因 此 ， 编 写 它们 时 常常 不 考虑 安 
全 性 。 这 种 疏忽 可 以 导致 一 些 缺 陷 , 使 得 仅 对 系统 具有 一 般 知 识 的 人 也 能 进入 系统 任意 “ 走 
动 ”。 尽 管 CGI 程序 最 容易 写 ， 甚 至 只 需 拼凑 一 下 即 可 ， 但 控制 它们 却 很 困难 ， 因 为 它们 
一 般 是 通过 执行 外 部 的 其 他 程序 来 完成 工作 的 。 这 就 导致 一 些 可 能 的 隐患 ， 因 为 CGI 程序 
会 继承 任何 它 使 用 过 的 程序 的 安全 问题 。Perl 程序 比 Shell 脚本 更 进一步 。Perl 用 于 CGI 编 
程 有 很 多 优点 ， 并 且 相 当 安 全 。 但 Perl 能 给 CGI 作者 提供 足够 的 灵活 性 ， 从 而 导致 对 安全 
性 的 错误 感觉 。 例 如 ，Perl 是 解释 型 的 ， 这 意味 着 它 实际 在 调用 时 是 先 编译 ， 然 后 每 次 执行 
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一 步 。 这 就 很 容易 使 得 不 正确 的 用 户 数据 被 包括 进来 作为 代码 的 一 部 分 ， 从 而 错误 地 进行 
解释 ， 形 成 程序 中 止 。 从 安全 性 的 角度 来 看 ，C 语言 似乎 是 很 不 错 的 ， 但 由 于 它 的 流行 性 ， 
它 的 好 几 种 安全 性 问题 已 广为人知 ， 而 这 些 问题 也 能 很 容易 地 被 人 利用 。 例 如 C 语言 对 串 
处 理 非常 差 。 这 就 是 处 理 串 时 存在 的 问题 。 在 处 理 串 时 ， 大 部 分 C 语言 程序 员 都 是 简单 地 
建立 一 个 预定 义 的 空间 并 希望 它 足 够 大 ， 以 便 处 理 用 户 输入 的 任何 内 容 。 所 以 它 不 做 任何 
自动 定位 或 清理 ， 而 让 编程 者 自己 处 理 所 有 事情 。 

当 用 户 登 录 Web 站 点 并 开始 进行 交互 访问 时 ， 他 们 能 以 两 种 方式 导致 CGI 的 不 安全 。 
一 种 是 不 遵守 规则 ， 下 曲 或 违反 页 面 中 建立 的 每 个 限制 或 约束 ; 另 一 种 方式 是 按 要 求 去 做 。 
大 部 分 CGI 脚本 是 作为 HTML 表单 的 后 台 运 行 的 ， 负 责 处 理由 用 户 输入 的 信息 并 提供 某 种 
定制 的 输出 。 因 为 在 这 种 情况 下 ， 大 部 分 CGI 脚本 编写 时 都 等 待 某 种 特殊 格式 的 数据 ， 它 
们 期 望 用 户 的 输入 能 匹配 收集 并 发 送信 息 的 表单 。 不 过 事情 并 不 总 是 这 样 。 用 户 可 以 有 许 
多 种 办 法 绕 过 这 些 预定 义 的 格式 ， 而 给 脚本 发 送 一 些 看 起 来 是 随机 的 数据 。 其 次 ， 利 用 有 
关 操 作 系统 和 Web 服务 器 软件 的 知识 及 常见 的 编程 错误 入 侵 系 统 。 这 些 入 侵 从 表面 上 看 一 
切 都 正常 ， 而 实际 上 却 是 最 危险 的 、 最 难 检 测 出 来 的 。 

Web 浏览 器 是 通过 HTML 协议 工作 的 , 正常 的 请 求 类 似 于 GETSOMEHOLESHTTP/1.1， 
这 时 请 求 服务 器 返回 INDEX.HTML 这 个 页 面 ， 如 果 请 求 的 页 面 存 在 ， 服 务 器 返回 的 数据 中 
包含 200 OK， 而 如 果 不 存在 ， 则 包含 404 ERROR 。 比 如 请 求 被 打 错 : GET/ KKKK 
K.FFFFHTTP/1.1， 那 么 服务 器 会 告知 输入 者 找 不 到 这 个 页 面 。CGI 漏洞 扫描 器 可 以 通过 实 
现 这 种 过 程 来 检测 某 个 漏洞 是 否 存在 。 首 先 和 服务 器 建立 连接 ， 然 后 发 送 请 求 
GETSOMEHOLESHTTP/ 1.1， 如 果 返 回 的 数据 中 有 “OK”， 就 说 明 存在 漏洞 ， 否 则 就 不 存 
在 漏洞 。 
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图 2.5 为 CGI 漏洞 扫描 器 的 主 程序 流程 。 
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vy _ 段 程 扫描 10 个 漏洞 | _ 段 程 扫描 10 个 漏洞 
[各 等 所 有 子 段 程 拉 
生 | 


| _ 漏洞 扫描 完成 | 
图 2.5 CGI 漏洞 扫描 器 主 程序 流程 


人 2.4 口令 攻击 


攻击 者 攻击 目标 时 常常 把 破译 用 户口 令 作为 攻击 的 开始 。 只 要 攻击 者 能 猜测 或 者 确定 


计算 机 网 络 安全 技术 国 


用 户口 令 ， 他 就 能 获得 机 器 或 者 网 络 的 访问 权 ， 并 能 访问 到 用 户 能 访问 到 的 任何 资源 。 如 
果 这 个 用 户 有 域 管理 员 或 Root 用 户 权限 ， 这 是 极其 危险 的 。 这 种 方法 的 前 提 是 必须 先 得 到 
该 主机 上 的 某 个 合法 用 户 的 账号 ， 然 后 再 进行 合法 用 户口 令 的 破译 。 获 得 普通 用 户 账号 的 
方法 很 多 ， 如 利用 目标 主机 的 Finger 功能 : 当 用 Finger 命令 查询 时 ， 主 机 系统 会 将 保存 的 
用 户 资料 (如 用 户 名 、 登 录 时 间 等 ) 显 示 在 终端 或 计算 机 上 ; 利用 目标 主机 的 X.500 服务 : 有 
些 主机 没有 关闭 X.500 的 目录 查询 服务 ， 也 给 攻击 者 提供 了 获得 信息 的 一 条 简易 途径 ， 从 
电子 邮件 地 址 中 收集 : 有 些 用 户 的 电子 邮件 地 址 常会 泄露 其 在 目标 主机 上 的 账号 ， 查 看 主 
机 是 否 有 习惯 性 的 账号 :， 有 经 验 的 用 户 都 知道 ， 很 多 系统 会 使 用 一 些 习 惯性 的 账号 ， 造 成 
账号 的 泄露 。 

口令 攻击 有 三 种 方法 。 

1. 通过 网 络 监听 非法 得 到 用 户口 令 

这 类 方法 有 一 定 的 局 限 性 ， 但 危害 性 极 大 。 监 听 者 往往 采用 中 途 截击 的 方法 来 获取 用 
户 账户 和 密码 。 目 前, 很 多 协议 根本 就 没有 采用 任何 加 密 或 身份 认证 技术 , 如 在 Telnet、 FTP、 
HTTP、SMTP 等 传输 协议 中 ， 用 户 账 户 和 密码 信息 都 是 以 明文 格式 传输 的 ， 此 时 若 攻击 者 
利用 数据 包 截 取 工具 便 可 很 容易 地 收集 到 用 户 的 账户 和 密码 。 还 有 一 种 中 途 截击 攻击 方法 ， 
它 在 用 户 同 服务 器 端 完成 “三 次 握手 ”建立 连接 之 后 ， 在 通信 过 程 中 扮演 “第 三 者 ”的 
色 ， 假冒 服务 器 身份 欺骗 用 户 ， 再 假冒 用 户 向 服务 器 发 出 恶意 请 求 ， 其 造成 的 后 果 不 堪 设 
想 。 另外， 攻击 者 有 时 还 会 利用 软件 和 硬件 工具 时 刻 监视 系统 主机 的 工作 ， 等 待 记录 用 户 
登录 信息 ， 从 而 取得 用 户 密码 ; 或 者 编制 有 缓冲 区 溢出 错误 的 SUID 程序 来 获得 超级 用 户 
权限 。 


2. 在 知道 用 户 的 账号 后 ， 利 用 一 些 专用 软件 强行 破解 用 户口 令 
这 种 方法 不 受 网 段 限制 ， 但 攻击 者 要 有 足够 的 耐心 和 时 间 。 如 : 采用 字典 穷 举 法 (或 称 
暴力 法 ) 来 破解 用 户 的 密码 。 攻 击 者 可 以 通过 一 些 工 具 程序 ， 自 动 从 计算 机 字典 中 抽取 一 个 
单词 ， 作 为 用 户 的 口令 ， 再 输入 给 远 端的 主机 ， 申 请 进入 系统 ; 若 口 令 错 误 ， 就 按 序 抽取 
下 一 个 单词 ， 进 行 下 一 个 尝试 ， 并 一 直 循环 下 去 ， 直 到 找到 正确 的 口令 或 字典 的 单词 试 完 
为 止 。 由 于 这 个 破译 过 程 由 计算 机 程序 来 自动 完成 ， 因 此 几 个 小 时 就 可 以 把 上 十 万 条 记录 
在 字典 里 的 单词 都 尝试 一 遍 。 
3. 利用 系统 管理 员 的 失误 


用 户 的 基本 信息 存放 在 password 文件 中 , 而 所 有 口令 则 经 过 DES 加 密 方法 加 密 后 专门 
存放 在 一 个 叫 Shadow 的 文件 中 。 黑 客 们 获取 口令 文件 后 ， 就 会 使 用 专门 的 破解 DES 加 密 
法 的 程序 来 破解 口令 。 同时， 由 于 为 数 不 少 的 操作 系统 都 存在 许多 安全 漏洞 、Bug 或 一 些 其 
他 设计 缺陷 ， 这 些 缺 陷 一 旦 被 找 出 ， 黑 客 就 可 以 长 驱 直 入 。 例 如 ， 利 用 Windows 的 基本 设 
计 缺 陷 ， 放 置 特洛伊 木马 程序 可 以 直接 侵入 用 户 的 计算 机 并 进行 破坏 ， 它 常 被 伪装 成 工具 
程序 或 者 游戏 等 诱 使 用 户 打开 带 有 特洛伊 木马 程序 的 邮件 附件 或 从 网 上 直接 下 载 ， 一 旦 上 
户 打开 了 这 些 邮件 的 附件 或 者 执行 了 这 些 程序 之 后 ， 它 们 就 会 像 古 特洛伊 人 在 敌人 城内 禄 
下 的 藏 满 士兵 的 木马 一 样 留 在 用 户 的 计算 机 中 ， 并 在 用 户 的 计算 机 系统 中 隐藏 一 个 可 以 在 
Windows 启动 时 悄悄 执行 的 程序 。 当 用 户 连接 到 因特网 上 时 ， 这 个 程序 就 会 通知 攻击 者 ， 


得 人 
伏 » 
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报告 ”用 户 的 他 地址 以 及 预先 设 定 的 端口 。 攻击 者 在 收 到 这 些 信息 后 , 再 利 
在 用 户 系统 中 的 程序 ， 就 可 以 任意 地 修改 用 户 的 计算 机 的 参数 设 定 、 复 制 


用 / 


为 


令 ， 发 起 词典 攻击 通常 是 较 好 的 开端 。 词 典 攻击 使 用 


多 人 认为 如 果 使 用 足够 长 的 口令 ， 或 者 使 有 


用 这 些 单词 猜测 用 户口 令 。 使 用 一 部 1 万 个 单词 的 词典 一 般 能 猜测 
在 多 数 系统 中 ， 与 尝试 所 有 组 合 相 比 ， 


整个 硬盘 中 的 内 容 等 ， 从 而 达到 控制 用 户 的 计算 机 的 目的 。 
令 攻 击 的 类 型 大 致 可 分 为 四 种 。@D 词 典 攻击 。 因 为 多 数 人 使 用 普通 词 
个 包含 大 多 数 词典 单 
系统 中 70% 的 口令 。 
词典 攻击 能 在 很 短 的 时 间 内 完成 。@ 强 行 攻击 。 许 


这 个 “ 潜 
文件 、 妾 视 


中 的 单词 作 
词 的 文件 ， 


足够 完善 的 加 密 模 式 ， 就 能 有 一 个 攻 不 破 的 口 


令 。 事 实 上 ， 没 有 攻 不 破 的 口令 ， 这 只 是 个 时 间 问 题 。 如 果 有 速度 足够 快 的 计算 机 能 尝试 


字母 、 数 字 、 特 殊 字符 的 所 有 组 合 ， 
攻击 。 使 


购买 大 量 昂贵 的 计算 机 。 他 会 “ 冯 入 ” 几 个 有 大 批 计算 机 的 公司 ， 并 利用 它 人 


将 最 终 能 破解 所 有 口令 。 这 种 类 型 的 攻 才 
强行 攻击 ， 先 从 字母 a 开始， 尝试 aa、ab、ac 等 ， 然 后 尝试 aaa、aab、aac 


方式 叫 强 行 


攻击 者 也 可 以 利用 分 布 式 攻击 。 如 果 攻 击 者 希望 在 尽量 短 的 时 间 内 破解 口令 ， 他 不 必 


令 。@ 组 合 攻击 。 词 典 攻击 只 能 发 现 词典 单词 口令 ,但 是 速度 快 。 


的 


令 ， 但 是 破解 时 间 很 长 。 鉴 于 很 多 管理 系统 要 求 用 户 使 有 


字母 和 数字 ， 月 


] 的 资源 破解 


强行 攻击 能 发 现 所 有 


有 户 的 对 策 是 


在 字母 后 面 添加 几 个 数字 。 如 把 口令 ericgolf 变 成 ericgolf55。 用 户 使 用 这 种 口令 的 错误 看 


法 ， 


一 利 


它 介 于 词典 攻 刘 


圾 箱 等 。 


令 和 UNIX 口令 。 


哈 希 (Hash) 计 算 NT 口令 ， 功 能 非常 强大 、 丰 富 ， 是 目前 市 
。 它 有 三 种 方式 可 以 破解 口令 : 词典 攻击 、 组 合 攻击 
www.10pht.com 下 载 (15 天 试用 )， 它 不 仅 有 一 个 美观 、 容 易 使 用 的 GUI( 图 形 用 户 界 下 
用 了 NT 的 两 个 实际 缺陷 ， 这 使 得 LOphtcrack 速度 奇 快 。 
(2) NTSweep。NTSweep 使 用 的 方法 和 其 他 口令 破解 程序 不 同 。 它 不 是 


且 利 


NT 口令 破解 可 以 用 以 下 几 种 程序 。 


(1) LOphtcrack。LOphtcrack 是 一 个 NT 口令 审计 工具 ， 能 根据 操作 系统 


令 攻 击 肯定 需要 借助 一 定 的 工具 来 对 口令 进行 破解 。 下 面 来 教 大 家 怎么 来 破解 NT 


是 认为 攻击 者 不 得 不 使 用 强行 攻击 ， 会 很 费时 间 ， 而 实际 上 这 种 口令 也 不 难 破解 。 有 
攻击 使 用 词典 单词 ， 但 是 在 单词 尾部 串 接 几 个 字母 和 数字 ， 这 就 是 组 合 攻击 。 
fF 和 强行 攻击 之 间 。@ 其 他 攻击 类 型 : 偷 委 ( 观 察 别 人 痪 口 令 )， 搜 索 邮箱 的 垃 


基本 上 ， 


bh 存储 的 加 密 
而 上 最 好 的 NT 口令 破解 程序 之 
和 强行 攻击 。LOphtcrack 可 在 


)， 而 


下载 口令 并 离 


线 破 解 ，NTSweep 是 利用 了 Microsoft 允许 用 户 改变 口令 的 机 制 。NTSweep 首先 取 定 一 个 


单词 ， 然 后 使 用 这 个 单词 作为 账号 的 原始 口令 ， 并 试图 把 用 户 的 口令 改 为 同一 个 单词 。 如 


果 主 域 控制 机 器 返回 失败 信息 ， 就 可 知道 这 不 是 原来 的 口令 。 反 之 ， 如 果 返 回 成 功 信息 ， 


就 说 明 这 一 定 是 用 户 账号 的 口令 。 然 后 NTSweep 成 功 地 把 口令 改 成 原来 的 值 ， 用 户 永远 不 


会 名 


有 用 


这 和 


技术 的 猜测 程序 不 会 给 出 精确 信息 ， 如 有 些 情况 不 准 有 


道口 令 曾 经 被 人 修改 过 。NTSweep 可 从 www.packet.securify.com 下 
， 因 为 它 能 通过 防火 墙 ， 也 不 需要 任何 特殊 权限 来 运行 。 但 是 
起 来 较 慢 ， 其 次 尝试 修改 口令 并 失败 的 信息 会 被 记录 下 来 ， 被 管理 


载 。NTSweep 非常 
它 也 有 缺点 ; 首先 运行 


员 检测 到 最 后 ， 合用 


有 户 更 改 


失败 信息 ， 即 使 口令 是 正确 的 。 
(3) NTCrack。 NTCrack 是 UNIX 破解 程序 的 一 部 分 , 但 是 在 NT 环境 下 破解 .NTCrack 


令 ， 这 时 程序 会 返 下 
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与 UNIX 中 的 破解 类 似 ， 但 是 NTCrack 在 功能 上 非常 有 限 。 它 不 像 其 他 程序 一 样 提取 口令 
哈 希 (Hashb)， 它 和 NTSweep 的 工作 原理 类 似 ， 必 须 给 NTCrack 一 个 user id 和 要 测试 的 口令 
组 合 ， 然 后 程序 会 告诉 用 户 是 否 成 功 。 

(4) PWDump2。PWDump2 不 是 一 个 口令 破解 程序 , 但 是 它 能 用 来 从 SAM 数据 库 中 提 
取 口 令 哈 希 (Hash)。 虽 然 LOphtcrack 已 经 内 建 了 这 个 特征 ， 但 是 PWDump2 还 是 很 有 用 的 。 
首先 ， 它 是 一 个 小 型 的 、 易 使 用 的 命令 行 工具 ， 能 提取 口令 哈 希 ， 其 次 ， 目 前 很 多 情况 下 
LOphtcrack 的 版 本 不 能 提取 口令 哈 希 。 如 SYSTEM 是 一 个 能 在 NT 下 运行 的 程序 ， 为 SAM 
数据 库 提供 了 很 强 的 加 密 功 能 ， 如 果 SYSTEM 在 使 用 ，LOphtcrack 就 无 法 提取 哈 希 口令 ， 
但 是 PWDump2 还 能 使 用 ; 最 后 , 要 在 Windows XP 下 提取 哈 希 口令 , 必须 使 用 PWDump2， 
为 系统 使 用 了 更 强 的 加 密 模 式 来 保护 信息 。 

UNIX 口令 破解 可 以 用 以 下 几 种 程序 。 

(1) Crack。Crack 是 一 个 旨 在 快速 定位 UNIX 口令 弱点 的 口令 破解 程序 。Crack 使 用 标 
准 的 猜测 技术 确定 口令 。 它 检查 口令 是 否 为 如 下 情况 之 一 : 与 User ID 相同 、 单词 Password、 
数字 串 、 字 母 串 。Crack 通过 加 密 一 长 串 可 能 的 口令 ， 并 把 结果 和 用 户 的 加 密 口 令 相 比较 ， 
看 两 者 是 否 匹 配 。 用 户 的 加 密 口令 必须 是 在 运行 破解 程序 之 前 就 已 经 提供 的 。 

(2) John the Ripper。UNIX 口令 破解 程序 ， 但 也 能 在 Windows 平台 运行 ， 功 能 强大 、 
运行 速度 快 ， 可 进行 字典 攻击 和 强行 攻击 。 

(3) XIT。XIT 是 一 个 执行 词典 攻击 的 UNIX 口令 破解 程序 。XIT 的 功能 有 限 ， 因 为 它 
只 能 运行 词典 攻击 ， 但 程序 很 小 、 运 行 速度 很 快 。 

(4) Slurpie。Slurpie 能 执行 词典 攻击 和 定制 的 强行 攻击 ， 要 规定 所 需要 使 用 的 字符 数 
和 字符 类 型 。 如 : 可 以 使 Slurpie 发 起 一 次 攻击 ， 使 用 7 字符 或 8 字符 、 仅 使 用 小 写字 母 
令 进 行 强行 攻击 。 和 John the Ripper、Crack 相 比 ，Slurpie 最 大 的 优点 是 它 能 分 布 运行 ， 
Slurpie 能 把 几 台 计算 机 组 成 一 台 分 布 式 虚拟 机 器 ， 并 在 很 短 的 时 间 里 完成 破解 任务 。 


全 2.5 网 络 监听 


网 络 监听 是 一 种 监视 网 络 状态 、 数 据 流程 以 及 网 络 信息 传输 的 管理 工具 ， 它 可 以 将 网 
络 界面 设 定 成 监听 模式 ， 并 且 可 以 截获 网 络 上 传输 的 信息 。 也 就 是 说 ， 当 黑客 登录 网 络 主 
机 并 取得 超级 用 户 权 限 后 ， 若 要 登录 其 他 主机 ， 使 用 网 络 监听 便 可 以 有 效 地 截获 网 络 上 的 
数据 ， 这 是 黑客 使 用 的 最 有 效 的 方法 。 但 是 网 络 监听 只 能 应 用 于 连接 同一 网 段 的 主机 ， 通 
常 被 用 来 获取 用 户 密码 等 。 

在 网 络 中 ， 当 信 息 进行 传播 时 ， 黑 客 可 以 利用 工具 ， 将 网 络 接口 设置 成 监听 模式 ， 便 
可 将 网 络 中 正在 传播 的 信息 截获 或 者 捕获 到 ， 从 而 进行 攻击 。 网 络 监听 在 网 络 中 的 任何 一 
个 位 置 模式 下 都 可 实施 进行 。 黑 客 一 般 都 是 利用 网 络 监听 来 截取 用 户口 令 。 比 如 当 有 人 占 
领 了 一 台 主机 之 后 ， 那 么 他 要 想 将 战果 扩大 到 这 个 主机 所 在 的 整个 局 域 网 的 话 ， 监 听 往 往 
是 他 选择 的 捷径 。 很 多 初学 者 认为 如 果 占 领 了 某 主机 ， 那 么 想 进入 它 的 内 部 网 应 该 是 很 简 
单 的 。 其 实 非 也 ， 进 入 了 某 主机 再 想 转 入 它 的 内 部 网 里 的 其 他 机 器 也 不 是 一 件 容易 的 事情 。 
为 除了 要 拿 到 用 户 的 口令 之 外 还 有 就 是 用 户 共享 的 绝对 路 径 ， 这 个 路 径 的 尽头 必须 是 有 
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写 的 权限 了 。 在 这 个 时 候 ， 运 行 已 经 被 控制 的 主机 上 的 监听 程序 就 会 有 大 收效 。 不 过 ， 这 


却 是 一 件 费 神 的 事情 ， 而 且 还 需要 当事者 有 足够 的 耐心 和 应 变 能 力 。 


Ethernet( 以 太 网 ， 它 是 由 施乐 公司 发 明 的 一 种 比较 流行 的 局 域 网 技术 ， 它 包含 一 条 所 有 
计算 机 都 连接 到 其 上 的 电缆 ， 每 台 计算 机 均 需 要 一 种 叫 接口 板 的 硬件 才能 连接 到 以 太 网 ) 协 
议 的 工作 方式 是 将 要 发 送 的 数据 包 发 往 连接 在 一 起 的 所 有 主机 。 在 包头 中 包括 有 应 该 接收 
数据 包 的 主机 的 正确 地 址 (因为 只 有 与 数据 包 中 目标 地 址 一 致 的 那 台 主 机 才能 接收 到 信息 
包 )， 但 是 当主 机 工作 在 监听 模式 下 的 话 ,不 管 数据 包 中 的 目标 物理 地 址 是 什么 ， 主 机 都 将 可 
以 接收 到 。 许 多 局 域 网 内 有 十 几 台 甚至 上 百 台 主机 是 通过 一 个 电缆 、 一 个 集线器 连接 在 一 


起 
源 主机 将 写 有 目的 主机 瑟 地 址 的 数据 包 发 向 网 关 。 但 这 种 数据 包 并 不 能 在 协议 栈 的 高 
接 


ET 


的 ， 在 协议 的 高 层 或 者 用 户 来 看 ， 当 同一 网 络 中 的 两 台 主机 通信 的 时 候 ， 源 主机 将 写 有 
的 主机 地 址 的 数据 包 直 接 发 向 目的 主机 ,或 者 当 网 络 中 的 一 台 主机 同 外 界 的 主机 通信 时 ， 


层 直 


目 
发 送出 去 , 而 必须 通过 TCP/IP 协议 的 亿 层 (也 就 是 通常 所 说 的 数据 链 路 层 ) 交 给 网 络 接口 。 
同时 ， 网 络 接口 不 能 直接 识别 由 IP 层 来 的 IP 地 址 ， 而 必须 在 带 有 IP 地 址 的 数据 包 前 增加 


一 段 帧 头 信息 。 帧 头 信息 共 48 位 , 包含 源 主机 和 目的 主机 两 者 的 物理 地 址 , 它 IP 地 址 一 一 


对 应 ， 只 有 网 络 接口 才能 识别 这 一 地 址 。 这 样 才能 完成 数据 包 的 发 送 。 


Ethernet 中 填写 了 物理 地 址 的 帧 从 网 络 接口 中 , 也 就 是 从 网 卡 中 发 送出 去 传送 到 物理 的 
线路 上 。 如 果 局 域 网 是 由 一 条 粗 网 或 细 网 连接 成 的 ， 那 么 数字 信号 在 电缆 上 传输 信号 就 能 
够 到 达 线路 上 的 每 一 台 主机 。 在 使 用 集线器 的 时 候 ， 发 送出 去 的 信号 到 达 集线器 ， 由 集 线 
器 再 发 向 连接 在 集线器 上 的 每 一 条 线路 。 这 样 在 物理 线路 上 传输 的 数字 信号 也 就 能 到 达 连 
接 在 集线器 上 的 每 个 主机 了 。 当 数字 信号 到 达 一 台 主 机 的 网 络 接口 时 ， 正 常 状态 下 网 络 接 


的 。 但 是 当主 机 工作 在 监听 模式 下 的 话 ， 所 有 的 数据 帧 都 将 被 交 给 上 层 协议 软件 处 理 。 


对 读 入 数据 帧 进行 检查 ， 如 果 数 据 帧 中 携带 的 物理 地 址 是 自己 的 或 者 物理 地 址 是 广播 地 
丝 ， 那 么 就 会 将 数据 帧 交 给 IP 层 软 件 。 对 于 每 个 到 达 网 络 接口 的 数据 帧 都 要 进行 这 个 过 程 


当 连 接 在 同一 条 电线 或 集线器 上 的 主机 被 逻辑 地 分 为 几 个 子 网 的 时 候 ， 那 么 要 是 有 一 


台 主 机 处 于 监听 模式 ， 它 还 将 可 以 接收 到 发 向 与 自己 不 在 同一 个 子 网 (使 用 了 不 同 的 掩 码 、 
IP 地 址 和 网 关 ) 的 主机 的 数据 包 ， 在 同一 个 物理 信道 上 传输 的 所 有 信息 都 可 以 被 接收 到 。 
在 UNIX 系统 上 ， 当 拥有 超级 权限 的 用 户 要 想 使 自己 所 控制 的 主机 进入 监听 模式 ， 只 需要 
向 Interface( 网 络 接口 ) 发 送 IO 控制 命令 ,就 可 以 使 主机 设置 成 监听 模式 了 ,而 使 用 Windows 


XP 系统 的 用 户 ， 无 论 是 否 有 权限 ， 都 可 直接 运行 监听 工具 把 主机 设置 成 监听 模式 。 
在 网 络 监听 时 ， 常 常 要 保存 大 量 的 信息 (也 包含 很 多 的 垃圾 信息 )， 并 要 对 收集 的 信 


息 进 


行 大 量 的 整理 ， 这 样 就 会 使 正在 监听 的 机 器 对 其 他 用 户 的 请 求 响应 变 得 很 慢 。 同 时 监听 程 
序 在 运行 的 时 候 需 要 消耗 大 量 的 处 理 器 时 间 ， 如 果 在 这 个 时 候 就 详细 地 分 析 包 中 的 内 容 ， 


协议 ， 运 行 起 来 的 话 这 个 监听 程序 将 会 十 分 的 大 。 如 果 都 进行 分 析 ， 监 听 程 序 占用 的 
将 会 十 分 巨大 。 


许多 包 就 会 因 来 不 及 接收 而 被 漏 走 ， 所 以 监听 程序 很 多 时 候 就 会 将 监听 得 到 的 包 存 放 在 文 
件 中 等 待 以 后 分 析 。 分 析 监 听 到 的 数据 包 是 件 令 人 很 头疼 的 事情 。 因 为 网 络 中 的 数据 包 都 
非常 复杂 。 两 台 主 机 之 间 连 续 发 送 和 接收 数据 包 ， 在 监听 到 的 结果 中 必然 会 夹杂 一 些 别 的 
主机 交互 的 数据 包 。 监 听 程序 将 同一 TCP 会 话 的 包 整 理 到 一 起 就 相当 不 容易 了 ， 如 果 你 还 
期 望 将 用 户 详细 信息 整理 出 来 ， 就 需要 根据 协议 对 包 进 行 大 量 的 分 析 。Internet 上 那么 多 的 


内 存 
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现在 网 络 中 所 使 用 的 协议 都 是 较 早 以 前 设计 的 ， 许 多 协议 的 实现 都 是 基于 一 种 非常 友 
好 的 、 通 信 的 双方 充分 信任 的 基础 。 在 通常 的 网 络 环境 之 下 ， 用 户 的 信息 包括 口令 都 是 以 
明文 的 方式 在 网 上 传输 的 ， 因 此 进行 网 络 监听 从 而 获得 用 户 信息 并 不 是 一 件 难 事 ， 只 要 掌 
握 有 初步 的 TCP/IP 协议 知识 就 可 以 轻松 地 监听 到 你 想 要 的 信息 。 美 籍 华人 China-babble 曾 
提出 将 网 络 监听 从 局 域 网 延伸 到 广域网 ， 但 这 个 想法 很 快 就 被 否定 了 。 如 果真 是 这 样 的 话 ， 
网 络 必 将 “天 下 大 乱 ” 了 。 而 事实 上 ， 现 在 在 广域网 里 也 可 以 监听 和 截获 到 一 些 用 户 信息 ， 
只 是 还 不 够 明显 而 已 ， 在 整个 Internet 中 这 就 更 显得 微不足道 了 。 

长 期 以 来 ， 在 保障 业务 连续 性 和 性 能 的 前 提 下 ， 最 大 限度 地 保障 数据 库 安全 一 直 是 数 
据 库 管 理 人 员 、 安 全 管理 人 员 孜 孜 不 倦 追求 的 安全 目标 。 数 据 库 系统 作为 三 大 基础 软件 之 
一 ， 并 不 是 在 计算 机 诞生 的 时 候 就 同时 产生 的 ， 随 着 信息 技术 的 发 展 ， 传 统 文件 系统 已 经 
不 能 满足 人 们 的 需要 。1961 年 ， 美 国 通用 电气 公司 成 功 开发 了 世界 上 第 一 个 数据 库 系统 
IDS(Integrated Data Store)， 奠定 了 数据 库 的 基础 。 经 过 几 十 年 的 发 展 和 实际 应 用 ,数据 库 技 
术 越 来 越 成 熟 和 完善 ， 代 表 产 品 有 甲骨 文公 司 的 Oracle、IBM 公司 的 DB2、 微 软 公司 的 
MS-SQL Server 等 。 

如 今 ， 数 据 库 系统 在 企业 管理 等 领域 已 经 具有 非常 广泛 的 应 用 ， 如 账号 管理 、 访 问 控 
制 、 安 全 审计 、 防 病毒 、 评 估 加 固 等 多 个 方面 ， 常 见 的 安全 产品 如 UTM、 人 入 侵 检 测 、 漏 洞 
扫描 等 ， 这 些 产 品 为 保障 数据 库 系统 的 正常 运行 起 到 了 重要 作用 。 但 是 ， 通 过 对 诸多 安全 
事件 的 处 理 、 分 析 ， 调 查 人 员 发 现 企 业内 部 人 员 造 成 的 违规 事件 占 了 较 大 比例 。 究 其 原因 ， 
主要 是 因为 这 些 违规 行为 与 传统 的 攻击 行为 不 同 ， 对 内 部 的 违规 行为 无 法 利用 攻击 机 理 和 
漏洞 机 理 进行 分 析 ， 这 就 导致 了 那些 抵御 外 部 入 侵 的 产品 无 用 武之 地 。 因 此 ， 要 防止 内 部 
的 违规 行为 ， 就 需要 在 内 部 建设 审计 系统 ， 通 过 对 操作 行为 的 分 析 ， 实 现 对 违规 行为 的 及 
时 响应 和 追溯 。 图 2.6 为 对 数据 库 系统 的 尝试 破坏 行为 。 

笔记 本 电脑 
工作 站 
网 络 服务 器 
应 用 服务 器 
数据 库 服务 器 国 尝试 破坏 比例 


POS 系 统 国 被 破坏 百分比 
0% 20% 40% 60% 80% 


图 2.6 ”对 数据 库 系 统 的 尝试 破坏 行为 
本 节 将 主要 介绍 4 种 数据 库 安全 审计 技术 ， 并 建议 优选 网 络 监听 方式 。 
1. 日 志 审 计 技 术 


该 技术 能 够 对 网 络 操作 及 本 地 操作 数据 库 的 行为 进行 审计 ， 由 于 它 依托 于 现 有 数据 库 
管理 系统 ， 因 此 兼容 性 很 好 。 图 2.7 为 日 志 审计 技术 部 署 示 意图 。 

但 这 种 审计 技术 的 缺点 也 比较 明显 : 首先 ， 在 数据 库 系 统 上 开启 自身 日 志 审计 对 数据 
库 系 统 的 性 能 就 有 影响 ， 特 别 是 在 大 流量 情况 下 ， 损 耗 较 大 ;其 次 ， 日 志 审计 记录 的 精细 
度 较 差 ， 缺少 一 些 关 键 信息 ， 比 如 源 耻 、SQL 语句 等 ， 审 计 漳 源 效 果 不 好 ， 最 后 就 是 日 志 
审计 需要 到 每 一 台 被 审计 主机 上 进行 配置 和 查看 ， 较 难 进 行 统 一 的 审计 策略 配置 和 日 志 分 析 。 
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机 


审计 系统 
2.7 日 志 审计 技术 部 署 示意 图 


2. 代理 审计 技术 


该 技术 与 日 志 审计 技术 比较 类 似 ， 最 大 的 不 同 是 需要 在 被 审计 主机 上 安装 代理 程序 。 
代理 审计 技术 从 审计 粒度 上 要 优 于 日 志 审计 技术 ， 但 是 性 能 上 的 损耗 要 大 于 日 志 审计 技术 。 
因为 数据 库 系 统 厂 商 未 公开 细节 ， 由 数据 库 厂 商 提供 的 代理 审计 类 产品 对 自 有 数据 库 系 统 
的 兼容 性 较 好 ， 但 是 在 跨 数据 库 系 统 的 支持 上 ， 比 如 要 同时 审计 Oracle 和 DB2 时 ， 存 在 一 
定 的 兼容 性 风险 。 同 时 由 于 在 引入 代理 审计 后 ， 原 数据 库 系统 的 稳定 性 、 可 靠 性 、 性 能 或 
多 或 少 都 会 受到 一 些 影响 ， 其 实际 应 用 面 较 窗 。 图 2.8 为 代理 审计 技术 部 署 示 意图 。 
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图 2.8 代理 审计 技术 部 署 示 意图 
3. 网 络 监听 审计 技术 


该 技术 最 大 的 优点 就 是 与 现 有 数据 库 系 统 无 关 ， 部 署 过 程 不 会 给 数据 库 系 统 带 来 性 能 
上 的 负担 ， 即 使 出 现 故障 也 不 会 影响 数据 库 系 统 的 正常 运行 ， 具 备 易 部 署 、 无 风险 的 特点 。 
但 是 ， 其 部 署 的 实现 原理 决定 了 网 络 监听 技术 在 针对 加 密 协 议 时 ， 只 能 实现 到 会 话 级 别 审 
计 ( 即 可 以 审计 到 时 间 、 源 亿 、 源 端口 、 目 的 P、 目 的 端口 等 信息 )， 而 没 法 对 内 容 进行 审 
计 。 不 过 在 绝 大 多 数 业 务 环境 下 ， 因 为 数据 库 系 统 对 业务 性 能 的 要 求 远 高 于 对 数据 传输 旋 
密 的 要 求 ， 很 少 有 采用 加 密 通信 方式 访问 数据 库 服务 端口 的 情况 ， 故 网 络 监听 审计 技术 在 
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实际 的 数据 库 审计 项 目 中 应 用 非常 广泛 

4. 网 关 审 计 技 术 

该 技术 是 源 于 安全 审计 在 互联 网 审计 中 的 应 用 ， 在 互联 网 环境 中 ， 审 计 过 程 除 了 记录 
以 外 ， 还 需要 关注 控制 ， 而 网 络 监听 方式 无 法 实现 很 好 的 控制 效果 ， 故 多 数 互 联网 审计 厂 
商 选择 通过 串 行 的 方式 来 实现 控制 。 在 应 用 过 程 中 ， 这 种 技术 实现 方式 开始 在 数据 库 环境 
中 使 用 ， 不 过 由 于 数据 库 环 境 存 在 流量 大 、 业 务 连 续 性 要 求 高 、 可 靠 性 要 求 高 的 特点 ， 与 
互联 网 环境 大 相 径 庭 ， 故 这 种 网 关 审 计 技 术 往往 主要 运用 在 对 数据 库 运 维 审计 的 情况 下 ， 
不 能 完全 覆盖 所 有 对 数据 库 访 问 行为 的 审计 。 图 2.9 为 网 关 审计 技术 部 署 示意 图 。 
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2.9 ”网 关 审 计 技术 部 署 示意 图 


通过 对 以 上 4 种 技术 的 分 析 , 在 进行 数据 库 审计 技术 方案 的 选择 时 , 我 们 遵循 的 根本 原 
则 建议 如 下 。 
@ ”业务 保障 原则 :安全 建设 的 根本 目标 是 能 够 更 好 地 保障 网 络 上 承载 的 业务 。 在 保 
证 安全 的 同时 ， 必 须 保障 业务 的 正常 运行 和 运行 效率 。 
@ ”结构 简化 原则 :安全 建设 的 直接 目的 和 效果 是 要 将 整个 网 络 变 得 更 加 安全 ， 简 单 
的 网 络 结构 便于 整个 安全 防护 体系 的 管理 、 执 行 和 维护 。 
@ ”生命 周期 原则 安全 建设 不 仅仅 要 考虑 静态 设计 ， 还 要 考虑 不 断 的 变化 ;系统 
具备 适度 的 灵活 性 和 扩展 性 。 
根据 通常 情况 下 用 户 业 务 系统 7x24 小 时 不 间断 运行 的 特点 ， 从 稳定 性 、 可 靠 性 、 可 
性 等 多 方面 进行 考虑 ， 特 别 是 技术 方案 的 选择 不 应 对 现 有 系统 造成 影响 ， 建 议 用 户 优先 采 
用 网 络 监听 审计 技术 来 实现 对 数据 库 的 审计 。 


“< Co 不 写 


2.6.1 木马 的 工作 原理 


木马 (Trojan) 这 个 名 字 来 源 于 古 希腊 传说 (《 荷 马 史诗 》 中 木马 计 的 故事 ，Trojan 一 词 的 
本 意 是 “特洛伊 ”的 ， 即 代 指 特洛伊 木马 ， 也 就 是 木马 计 的 故事 )。“ 木 马 ”程序 是 目前 比 
较 流行 的 病毒 文件 ， 与 一 般 的 病毒 不 同 ， 它 不 会 自我 繁殖 ， 也 并 不 “刻意 ”地 去 感染 其 他 
文件 , 而 是 通过 将 自身 伪装 吸引 用 户 下 载 执 行 , 向 施 种 木马 者 提供 打开 被 种 者 计算 机 的 “ 门 
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户 ”， 使 施 种 者 可 以 任意 毁坏 、 窃 取 被 种 者 的 文件 ， 甚 至 远程 操控 被 种 者 的 计算 机 。 图 2.10 
为 漫画 版 的 木马 病毒 入 侵 计 算 机 。 


图 2.10 ”木马 病毒 入 侵 计算 机 
木马 与 计算 机 网 络 中 常常 要 用 到 的 远程 控制 软件 有 些 相似 , 但 由 于 远程 控制 软件 是 “ 善 


意 ” 的 控制 ， 因 此 通常 不 具有 隐蔽 性 ， 木 马 则 完全 相反 ， 木 马 要 达到 的 是 “偷窃 ”性 的 远 
程控 制 ， 如 果 没有 很 强 的 隐蔽 性 ， 那 就 是 “ 毫 无 价值 ”的 。 木 马 通过 一 段 特 定 的 程序 (木马 
程序 ) 来 控制 另 一 台 计 算 机 。 木 马 通常 有 两 个 可 执行 程序 : 一 个 是 客户 端 ， 即 控制 端 ， 另 一 
个 是 服务 端 ， 即 被 控制 端 。 植 入 被 种 者 计算 机 的 是 “服务 器 ”部 分 ， 而 所 谓 的 “黑客 ” 正 
是 利用 “控制 器 ”进入 运行 了 “服务 器 ”的 计算 机 。 运 行 了 木马 程序 的 “服务 器 ”以 后 ， 
被 种 者 的 计算 机 就 会 有 一 个 或 几 个 端口 被 打开 ， 使 黑客 可 以 利用 这 些 打开 的 端口 进入 被 种 
者 的 计算 机 系统 ， 安 全 和 个 人 隐私 也 就 毫 无 保障 了 ! 木马 的 设计 者 为 了 防止 木马 被 发 现 ， 
会 采用 多 种 手段 隐藏 木马 。 木 马 程序 的 “服务 器 ”一 旦 运行 并 被 控制 端 连接 ， 其 控制 端 将 
享有 服务 端的 大 部 分 操作 权限 ， 例 如 给 计算 机 增加 口令 ， 浏览、 移动、 复制 、 删 除 文件 ， 
修改 注册 表 ， 更 改 计算 机 配置 等 。 

一 个 完整 的 特洛伊 木马 套装 程序 包含 两 部 分 : 服务 端 (服务 器 部 分 ) 和 客户 端 (控制 器 部 
分 )。 植 入 对 方 计算 机 的 是 服务 端 ， 而 黑客 正 是 利用 客户 端 进入 运行 了 服务 端的 计算 机 。 运 
行 了 木马 程序 的 服务 端 以 后 ， 会 产生 一 个 有 着 容易 迷惑 用 户 的 名 称 的 进程 ， 暗 中 打开 端口 ， 
向 指定 地 点 发 送 数据 (如 网 络 游戏 的 密码 、 即 时 通信 软件 密码 、 用 户 上 网 密码 等 )， 黑 客 甚 至 
可 以 利用 这 些 打 开 的 端口 进入 计算 机 系统 。 

特洛伊 木马 不 会 自动 运行 ， 它 暗含 在 某 些 用 户 感 兴趣 的 文档 中 ， 用 户 下载 时 附带 的 。 
对 一 个 不 会 起 疑 的 用 户 来 说 ， 它 可 能 看 起 来 有 用 或 有 趣 (至 少 无 害 ) 但 实际 上 ， 它 被 运行 时 是 
有 害 的 。 当 用 户 运行 文档 程序 时 ， 特 洛 伊 木 马 才 会 运行 ， 信 息 或 文档 才 会 被 破坏 和 遗失 。 
特洛伊 木马 和 后 门 不 一 样 ， 后 门 指 隐藏 在 程序 中 的 秘密 功能 ， 通 常 是 程序 设计 者 为 了 能 在 
日 后 随意 进入 系统 而 设置 的 特洛伊 木马 有 两 种 形式 , Universal 的 和 Transitive 的 , Universal 
就 是 可 以 控制 操作 的 ， 而 Transitive 是 不 能 控制 操作 的 。 如 图 2.11 所 示 为 特洛伊 木马 病毒 。 

至 今 ， 木 马 程序 已 经 经 历 了 六 代 的 改进 。 

第 一 代 : 是 最 原始 的 木马 程序 。 主 要 是 简单 的 密码 窃取 ， 通 过 电子 邮件 发 送信 息 等 ， 
具备 了 木马 最 基本 的 功能 。 

第 二 代 : 在 技术 上 有 了 很 大 的 进步 ， 冰 河 是 中 国 木 马 的 典型 代表 之 一 。 

第 三 代 : 主要 改进 在 数据 传递 技术 方面 ， 出 现 了 ICMP 等 类 型 的 木马 ， 利 用 畸形 报 文 


计算 机 网 络 安全 技术 国 


传递 数据 ， 增 加 了 杀毒 软件 查 杀 识别 的 难度 。 
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第 四 代 : 在 进程 隐藏 方面 有 了 很 大 改动 ， 采 用 了 内 核 插 入 式 的 嵌入 方式 ， 利 用 远程 插 
入 线程 技术 ， 媒 入 DLL 线程 。 或 者 挂 接 PSAPI, 来 实现 木马 程序 的 隐藏 。 Windows NT/2000 
下 ， 木 马 都 达到 了 良好 的 隐藏 效果 。“ 灰 饮 子 ”和 “蜜蜂 大 盗 ”是 比较 出 名 的 DLL 木马 。 

第 五 代 : 驱动 级 木马 。 驱动 级 木马 多 数 都 使 用 了 Rootbit 技术 来 达到 在 深度 隐藏 的 效果 ， 
甚至 可 深入 到 内 核 空 间 ， 用 户 感染 后 ， 驱 动 级 木马 可 针对 杀毒 软件 和 网 络 防火 墙 进行 攻击 ， 
将 系统 SSDT 初始 化 ， 导 致 杀毒 防火 墙 失去 效应 。 有 的 驱动 级 木马 甚至 可 驻 留 在 BIOS， 并 
且 很 难 查 杀 。 

第 六 代 : 随 着 身份 认证 Usbkey 和 杀毒 软件 主动 防御 的 兴起 ， 黏 虫 技术 类 型 和 特殊 反 显 
技术 类 型 的 木马 逐渐 开始 系统 化 。 前 者 主 木马 程序 技术 病毒 特征 不 明显 发 展 ， 可 以 说 非常 
迅速 的 ， 其 原因 主要 是 有 些 年 轻 人 出 于 好 奇 ， 或 是 急于 显示 自己 实力 ， 不 断 改 进 木 马 程序 
的 编写 代码 。 此 类 木马 程序 主要 以 资 取 和 算 改 用 户 敏感 信息 为 主 : 特殊 反 显 技术 类 型 的 木 
马 以 动态 口令 和 硬 证 书 攻击 为 主 。PassCopy 和 “暗黑 蜘蛛 侠 ” 是 这 类 木马 的 代表 。 


2.6.2 木马 的 分 类 


木马 病毒 大 致 可 分 为 6 类 。 

1. 网 络 游戏 木马 

随 着 网 络 在 线 游戏 的 普及 和 升温 ， 中 国 拥有 规模 庞大 的 网 游玩 家 。 网 络 游戏 中 的 金钱 、 
装备 等 虚拟 财富 与 现实 财富 之 间 的 界限 越 来 越 模糊 。 与 此 同时 ， 以 盗 取 网 游 账号 密码 为 目 
的 的 木马 病毒 也 随 之 泛滥 起 来 。 网 络 游戏 木马 通常 采用 记录 用 户 键盘 输入 、 抽奖 活动 、Hook 
游戏 进程 、API 函数 等 方法 获取 用 户 的 密码 和 账号 。 穷 取 到 的 信息 一 般 通 过 发 送 电 子 邮件 或 
向 远程 脚本 程序 提交 的 方式 发 送 给 木马 作者 。 网 络 游戏 木马 的 种 类 和 数量 ， 在 国产 木马 病 
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毒 中 都 首屈一指 。 流 行 的 网 络 游戏 无 一 不 受 网 游 木 马 的 威胁 。 一 款 新 游戏 正式 发 布 后 ， 往 
往 在 一 到 两 个 星期 内 ， 就 会 有 相应 的 木马 程序 被 制作 出 来 。 大 量 的 木马 生成 器 和 黑客 网 站 
的 公开 销售 也 是 网 游 木马 泛滥 的 原因 之 一 。 


2. 网 银 木 马 


网 银 木 马 是 针对 网 上 交易 系统 编写 的 木马 病毒 ， 其 目的 是 盗 取 用 户 的 卡号 、 密 码 ， 甚 
至 安全 证 书 。 此 类 木马 的 种 类 数量 虽然 比 不 上 网 游 木 马 ， 但 它 的 危害 更 加 直接 ， 受 害 用 户 
的 损失 更 加 惨重 。 网 银 木 马 通 常 针对 性 较 强 ， 木 马 编写 者 可 能 首先 对 某 银行 的 网 上 交易 系 
统 进行 仔细 分 析 ， 然 后 针对 安全 薄弱 环节 编写 病毒 程序 。2 月 27 日 ， 瑞 星 公司 向 广大 网 民 
发 出 病毒 警报 曾 在 2011 年 “ 叱 喀 风 云 ” 的 “网 银 超级 木马 ”再 度 来 袭 。 据 瑞星 安全 专家 
介绍 ， 新 版 “网 银 超级 木马 ”为 最 近 非 常 流行 的 网 购 型 木马 ， 病 毒 会 非法 算 改 支付 宝 页 
内 容 ， 采 用 “移花接木 ”的 方式 盗 取 用 户 的 网 银 账号 和 钱财 。 此 外 ， 该 类 病毒 还 可 以 利 上 
一 款 正 规 看 图 软件 做 则 子 ， 利 用 用 户 加 载 DLL 但 缺乏 验证 的 漏洞 ， 加 载 病毒 模块 ， 并 创建 
和 注入 倪 偶 进程 ， 实 现 病毒 的 运行 ， 从 而 躲避 杀毒 软件 的 拦截 和 查 杀 。“ 当 用 户 在 上 网 购 
物 时 ， 往 往 会 收 到 卖家 发 来 的 “商品 细节 照片 ”等 类 似 文件 ， 此 病毒 就 是 利用 这 一 点 ， 将 
病毒 伪装 成 商品 图 片 。” 瑞 星 安全 专家 介绍 说 ， 当 用 户 单 击 打开 此 “细节 图 片 ”时 ， 看 似 
打开 了 一 个 正规 看 图 工具 ， 而 实际 加 载 了 带 有 病毒 功能 的 文件 。 
随 着 中 国 网 上 交易 的 普及 ， 受 到 外 来 网 银 木 马 威胁 的 用 户 也 在 不 断 增加 。 图 2.12 为 黑 
客 利用 木马 病毒 盗 取 网 银 的 作案 步 又。 


1. 预 谋 
通过 网 络 窃取 他 人 个 人 资料 ， 
并 以 此 伪造 身份 证 在 银行 开户 


2. 钓 鱼 

网 上 开店 
利用 被 害 人 点 击 商品 照片 之 际 ， 
将 木马 程序 植 入 其 计算 机 


4. 取 钱 


SS 
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3. 即时 通信 软件 木马 


现在 ， 国 内 即时 通信 软件 种 类 众多 。QQ、 新 浪 UC、 网 易 泡 泡 、 盛 大 圈 圈 …… 网 上 聊 
天 的 用 户 群 十 分 庞大 。 常 见 的 即时 通信 类 木马 一 般 有 3 种 。 
1) ”发 送 消 息 型 
通过 即时 通信 软件 自动 发 送 含 有 恶意 网 址 的 消息 ， 其 目的 在 于 让 收 到 消息 的 用 户 点 击 
网 址 中 毒 ， 用 户 中 毒 后 又 会 自动 向 更 多 好 友 发 送 病 毒 消息 。 此 类 病毒 的 常用 技术 是 搜索 聊 
天 窗口 ， 进 而 控制 该 窗口 自动 发 送 文 本 内 容 。 发 送 消息 型 木马 常常 充当 网 游 木马 的 广告 。 
如 Trojan/IMMSG.MsgSender.ar(“ 垃 圾 发 送 机 ”变种 an 是 一 个 利用 即时 通信 工具 进行 传播 
的 木马 ， 用 VB 工具 编写 、 经 “加 壳 ” 处 理 。“ 垃 圾 发 送 机 ”变种 ar 运行 后 ， 在 用 户 计算 
机 的 系统 目录 下 创建 病毒 文件 ， 修 改 注册 表 ， 强 行 算 改 下 默认 主页 。 并 在 后 台 监 视 即 时 通 
信 工 具 ， 当 用 户 登录 QQ 或 者 MSN 时 , “垃圾 发 送 机 ”变种 ar 会 自动 向 用 户 的 好 友 发 送 垃 
圾 信息 。 

2) ”盗号 型 

其 主要 目的 在 于 盗 取 即时 通信 软件 的 登录 账号 和 密码 ， 工 作 原 理 和 网 游 木马 类 似 。 病 
毒 作 者 次 得 他 人 账号 后 ， 可 偷窥 聊天 记录 等 隐私 内 容 ， 或 将 账号 卖 掉 。 

3) ”传播 自身 型 

“热血 江湖 盗号 木马 23040”(Win32.Troj.PswGame.mc.23040)， 这 个 盗号 木马 的 犯罪 对 
象 是 “热血 江湖 ”。 病 毒 作者 针对 杀毒 软件 卡巴 斯 基 ， 赋 予 了 该 病毒 一 定 的 对 抗 能 力 。 病 
毒 进 入 计算 机 后 ， 创 建 线程 查找 卡巴 斯 基 监 视 警 告 窗口 。 如 果 找 到 ， 则 模拟 鼠标 单 击 【人 多 
许 ] 和 [【 跳 过 按钮 操作 。 同 时 , 它 释放 文件 rxso.exe 和 rxso0.\.dll 到 系统 临时 目录 , 将 rxso.exe 
的 数据 写 入 注册 表 启 动 项 ， 实 现 开 机 自动 启动 。 并 在 运行 起 来 后 将 rxso.dll 注入 游戏 ， 读 取 
账号 与 密码 , 发 送 到 指定 的 地 址 : http://www.661***69.com/rx, 给 用 户 造成 虚拟 财产 的 损失 。 


4. 网 页 点 击 类 木马 


网 页 点 击 类 木马 会 恶意 模拟 用 户 点 击 广告 等 动作 ， 在 短 时 间 内 可 以 产生 数 以 万 计 的 点 
击 量 。 此 类 病毒 作者 的 编写 目的 一 般 是 为 了 赚 取 高 额 的 广告 推广 费用 。 此 类 病毒 的 技术 简 
单 ， 一 般 只 是 向 服务 器 发 送 HTTP GET 请 求 。 


5. 下 载 类 木马 


这 种 木马 程序 的 体积 一 般 很 小 ， 其 功能 是 从 网 络 上 下 载 其 他 病毒 程序 或 安装 广告 软件 。 
由 于 体积 很 小 ， 下 载 类 木马 更 容易 传播 ， 传 播 速度 也 更 快 。 通 常 功能 强大 、 体 积 也 很 大 的 
后 门类 病毒 ， 如 “ 灰 鲍 子 ”、“ 黑 洞 ” 等， 传播 时 都 单独 编写 一 个 小 巧 的 下 载 型 木马 ， 用 
户 中 毒 后 会 把 后 门 主 程序 下 载 到 本 机 运行 。 


6. 代理 类 木马 


户 感染 代理 类 木马 后 ， 会 在 本 机 开启 HTTP、SOCKS 等 代理 服务 功能 。 黑 客 把 受 感 
染 计算 机 作为 跳板 ， 以 被 感染 用 户 的 身份 进行 黑客 活动 ， 达 到 隐藏 自己 的 目的 。 

木马 和 病毒 都 是 一 种 人 为 的 程序 , 都 属于 计算 机 病毒 , 为 什么 木马 要 单独 提出 来 说 呢 ? 
大 家 都 知道 以 前 的 计算 机 病毒 的 作用 ， 其 实 完全 就 是 为 了 搞 破坏 一 一 破坏 计算 机 里 的 资料 
数据 ， 为 了 达到 某 些 目 的 ， 病 毒 制造 者 进行 威慑 和 敲诈 勒索 的 作用 ， 更 有 甚 者 ， 只 是 为 了 
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炫 溜 自己 的 技术 。 木 马 不 一 样 ， 木 马 的 作用 是 赤裸 裸 地 偷偷 监视 别人 和 盗 窍 别 人 的 密码 、 
数据 等 ， 如 盗窃 管理 员 密码 一 子 网 密码 搞 破 坏 ， 或 者 源 于 好 玩 ， 偷 窃 上 网 密码 用 一 个 他 用 ， 
或 盗 取 别人 的 游戏 账号 、 股 票 账号 甚至 网 上 银行 账户 等 ， 达 到 偷窥 别 人 隐私 和 得 到 经 济 利 
益 的 目的 。 所 以 木马 的 作用 比 早期 的 计算 机 病毒 更 加 强大 ， 更 能 够 直接 达到 使 用 者 的 目的 。 
这 就 导致 许多 别有用心 的 程序 开发 者 大 量 地 编写 这 类 带 有 偷窃 和 监视 别人 计算 机 作用 的 侵 
入 性 程序 ， 使 得 木马 泛滥 成 灾 。 鉴 于 木马 的 这 些 巨 大 危害 性 和 它 与 早期 病毒 的 作用 性 质 的 
不 一 样 ， 虽 然 木马 属于 病毒 中 的 一 类 ， 但 还 要 将 其 从 病毒 类 型 中 独立 出 来 称 为 木马 程序 。 

一 般 来 说 ， 一 种 杀毒 软件 ， 如 果 它 的 木马 专 杀 程 序 能 够 查 杀 某 某 木 马 的 话 ， 那 么 其 普 
通 杀 毒 程序 也 能 够 杀 掉 这 种 木马 ， 之 所 以 为 木马 单独 设计 一 个 专门 的 木马 查 杀 程序 ， 是 为 
了 提高 该 杀毒 软件 的 产品 档次 和 声誉 ， 实 际 上 一 般 的 普通 杀毒 软件 里 都 包含 了 对 木马 的 查 
杀 功 能 。 

还 有 一 点 就 是 ， 把 查 杀 木马 程序 单独 剥离 出 来 ， 可 以 提高 查 杀 效率 ， 现 在 很 多 杀毒 软 
件 里 的 木马 专 杀 程 序 只 对 木马 进行 查 杀 ， 并 不 去 检查 普通 病毒 库 里 的 病毒 代码 ， 也 就 是 说 ， 
当 用 户 运 行 木 马 专 杀 程序 时 ， 程 序 只 调用 木马 代码 库 里 的 数据 ， 而 不 调用 病毒 代码 库 里 的 
数据 ， 这 可 以 大 大 提高 木马 查 杀 速度 。 我 们 知道 查 杀 普通 病毒 的 速度 是 比较 慢 的 ， 因 为 现 
在 有 太 多 的 病毒 。 每 个 文件 要 经 过 几 万 条 木马 代码 的 检验 ， 然 后 再 加 上 已 知 的 差不多 有 近 
10 万 个 病毒 代码 的 检验 ， 扫 描 速 度 就 很 慢 了 。 省 去 普通 病毒 代码 检验 ， 就 大 大 提高 了 扫描 
效率 和 扫描 速度 。 


2.6.3 ”传统 木马 


我 们 都 知道 ， 传 统 的 “特洛伊 木马 ”就 是 一 种 基于 “客户 机 /服务 器 ”模式 的 远程 控制 
程序 ， 它 让 用 户 的 计算 机 运行 服务 器 端的 程序 ， 这 个 服务 器 端的 程序 会 在 用 户 的 计算 机 上 
打开 监听 的 端口 。 这 就 给 黑客 入 侵 用 户 计算 机 打开 了 一 扇 进出 的 “ 门 ”， 然 后 黑客 就 可 以 
利用 木马 的 客户 端 入 侵 用 户 的 计算 机 系统 。 随 着 防火 墙 技 术 的 提高 和 发 展 ， 使 用 基于 IP 包 
的 过 滤 规 则 来 拦截 木马 程序 可 以 很 有 效 地 防止 外 部 连接 ， 因 为 黑客 在 无 法 取得 连接 的 情况 
下 ， 也 无 所 作为 。 
传统 木马 的 特点 其 实 很 明显 ， 且 其 目的 很 单一 ， 所 以 其 传染 性 很 弱 ， 隐 项 性 很 强 。 其 
主要 特点 如 下 : 四 隐蔽 性 好 ; @ 通 常 只 改写 几 个 、 几 十 个 注册 表 加 载 点 (Run 键 值 、Service 
服务 、 驱 动 )， 这 些 加 载 点 已 经 被 安全 软件 严密 防守 ; @@ 通 常 不 感染 系统 文件 ，@@ 通 常 不 具 
备 主动 传播 性 ，@ 利 用 网 页 挂 马 ， 木 马 下 载 器 ， 欺 骗 下 载 等 方式 传播 ，@ 删 除 木 马 文件 即 
可 简单 清除 。 

然而 ，“ 道 高 一 尺 ， 魔 高 一 丈 ” 这 个 安全 领域 里 的 “规律 ”无 时 不 在 起 作用 。 木 马 程 
序 员 又 发 明了 所 谓 的 “反弹 端口 型 木马 ”， 它 利用 防火 墙 对 内 部 发 起 的 连接 请 求 无 条 件 信 
任 的 特点 ， 假 冒 系统 的 合法 网 络 请 求 来 取得 对 外 的 端口 ， 再 通过 某 些 方式 连接 到 木马 的 客 
户 端 ， 从 而 窃取 用 户 计算 机 的 资料 同时 远程 控制 计算 机 本 身 。 下 节 就 将 具体 介绍 反弹 端 
型 木马 。 
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2.6.4 反弹 端口 型 木马 


首先 要 知道 反弹 端口 型 木马 的 原理 。 简 单 地 说 ， 就 是 由 木马 的 服务 端 主动 连接 客户 端 
所 在 IP 对 应 的 计算 机 的 80 端口 。 相 信 没 有 哪个 防火 墙 会 拦截 这 样 的 连接 (因为 它们 一 般 认 
为 这 是 用 户 在 浏览 网 页 )， 所 以 反弹 端口 型 木马 可 以 穿 过 防火 墙 。 防 火 墙 对 于 连 入 的 连接 往 
往 会 进行 非常 严格 的 过 滤 ， 但 是 对 于 连 出 的 连接 却 疏 于 防范 。 于 是 ， 与 一 般 的 软件 相反 ， 
反弹 端口 型 软件 的 服务 端 (被 控制 端 ) 主 动 连接 客户 端 (控制 端 )， 为 了 隐蔽 起 见 ， 客 户 端 的 监 
听 端 口 一 般 开 在 80( 提 供 HTTP 服务 的 端口 ), 这 样 , 即使 用 户 使 用 端口 扫描 软件 检查 自己 的 
端口 ， 发 现 的 也 是 类 似 TCP UserIP: 1026 ”ControllerIP: 80 ESTABLISHED 的 情况 ， 稍 
微 疏 忽 一 点 用 户 就 会 以 为 是 自己 在 浏览 网 页 (防火 墙 也 会 这 么 认为 的 )。 看 到 这 里 , 有 人 会 问 : 
既然 不 能 直接 与 服务 端 通信 ， 那 如 何 告诉 服务 端 何 时 开始 连接 自己 呢 ? 答案 是 : 通过 主页 
空间 上 的 文件 实现 的 ， 当 客户 端 想 与 服务 端 建立 连接 时 ， 它 首先 登录 到 FTP 服务 器 ， 写 主 
页 空间 上 面 的 一 个 文件 ， 并 打开 端口 监听 ， 等 待 服务 端的 连接 ， 服 务 端 定期 用 HTTP 协议 
读 取 这 个 文件 的 内 容 ， 当 发 现 是 客户 端 让 自己 开始 连接 时 ， 就 主动 连接 ， 如 此 就 可 完成 连 
接 工 作 。 如 图 2.13 所 示 为 反弹 型 木马 结构 。 


图 2.13 反弹 端口 木马 
反弹 端口 型 木马 : 利用 反弹 端口 原理 ， 躲 避 防 火 墙 拦截 的 一 类 木马 的 统称 。 国 产 的 优 


秀 反 弹 端口 型 木马 主要 有 : “ 灰 鸽 子 ”、 上 兴 远 程控 制 、PcShare 等 。 

一 般 木马 服务 端 运行 后 ， 会 用 邮件 、ICQ 等 方式 发 出 信息 通知 入 侵 者 ， 同 时 在 本 机 打 
开 一 个 网 络 端口 监听 客户 端的 连接 (时 刻 等 待 着 客户 端的 连接 )。 收 到 信息 后 ， 入 侵 者 再 运行 
客户 端 程序 向 服务 器 的 这 一 端口 提出 连接 请 求 (Connect Request)， 服 务 器 上 的 守护 进程 就 会 
自动 运行 ， 来 应 答 客户 机 的 请 求 。 

与 一 般 的 软件 相反 , 反弹 端口 型 木马 是 把 客户 端的 信息 存 于 有 固定 IP 的 第 三 方 FTP 服 
务 器 上 ， 服 务 端 从 FTP 服务 器 上 取得 信息 后 计算 出 客户 端的 IP 和 端口 ， 然 后 主动 连接 客 
户 端 。 另外， 服务 端 与 客户 端 在 进行 通信 ， 是 用 合法 端口 ， 把 数据 包含 在 像 HTTP 或 FTP 
的 报 文中 ， 这 就 是 黑客 们 所 谓 的 “隧道 ”技术 。 其 过 程 如 下 。 

服务 端 : 

Horse_Server.RemoteHost = RemoteIP( 设 远 端 地 址 为 从 指定 FTP 服务 器 取得 的 客户 端 人 P 
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地 址 ) 

Horse_Server.RemotePort = RemotePort ( 设 远程 端口 为 客户 端 程序 起 动 的 特定 端口 ， 如 : 
80、21 等 ) 

Horse_Server.Connect (连接 客户 端 计算 机 ) 

客户 端 : 

Horse_Client.LocalPort = LocalPort (打开 一 个 特定 的 网 络 端口 ， 如 80、21 等 ) 一 旦 客户 
端 接 到 服务 端的 连接 请 求 ConnectionRequest， 就 接受 连接 。 

Private Sub Horse Client ConnectionRequest (ByVal request1D As 

Long)Horse Client. Accept request1D 

End Sub 

Horse_Client.Listen( 监 听 客 户 端 的 连接 ) 客 户 机 端 用 Horse_Client.SendData 发 送 命 令 ， 
而 服务 器 在 Horse_Server DataArrive 事件 中 接收 并 执行 命令 。 如 果 客 户 断 开 连 接 ， 则 服务 
器 端 关闭 连接 : 

Private Sub Horse Server Close 

Horse_Server .Close (关闭 连接 ) 

End Sub 

之 后 ， 每 隔 一 段 时 间 服 务 端 就 会 向 客户 发 一 个 连接 请 求 : Horse_Server.Connect( 连 接客 
户 端 计算 机 )。 
目前 ， 大 部 分 防火 墙 对 于 连 入 的 连接 往往 会 进行 非常 严格 的 过 滤 ， 但 对 于 连 出 的 连接 
却 疏 于 防范 。 像 这 种 “反弹 端口 ”原理 的 木马 ， 又 使 用 “隧道 ”技术 ， 客 户 端的 监听 端 
开 在 防火 墙 信任 的 端口 上 ， 并 把 所 有 要 传送 的 数据 全 部 封装 到 合法 的 报 文 里 进行 传送 ， 防 
火 墙 就 不 会 拦截 。 如 80( 提 供 HTTP 服务 的 端口 或 21( 提 供 FTP 服务 的 端口 )， 它 会 认为 内 
部 用 户 在 浏览 网 页 或 进行 文件 传输 ， 则 木马 穿 过 防火 墙 。 其 实 ， 即 使 用 户 使 用 端口 扫描 软 
件 检查 自己 的 端口 ， 对 类 似 TCP local address: 1026 foreign address: 80 ESTABLISHED 的 
情况 也 未 必 注 意 。 这 样 ， 反 弹 端口 型 木马 不 但 可 以 穿 过 防火 墙 ， 而且 可 以 通过 HTTP、 
SOCKS4/ 5 代理 , 甚至 还 能 访问 局 域 网 内 部 的 计算 机 。 像 用 NAT 透明 代理 和 HTTP 的 GET 
型 代理 等 的 局 域 网 ， 以 及 拨号 上 网 、ISDN、ADSL 等 的 主机 ， 都 有 可 能 受到 此 类 木马 的 
攻击 。 


2.6.5 ”木马 的 隐藏 与 伪装 方式 


图 2.14 所 示 为 木马 病毒 的 整个 工作 流程 。 那 么 ， 木 马 病毒 是 怎样 隐藏 在 用 户 的 计算 机 
里 的 呢 ? 

1. 在 任务 栏 里 隐藏 

这 是 最 基本 的 隐藏 方式 。 如 果 在 Windows 的 任务 栏 里 出 现 一 个 莫名 其 妙 的 图 标 ， 谁 都 
会 明白 是 怎么 回 事 。 在 编程 时 要 实现 在 任务 栏 中 隐藏 是 很 容易 实现 的 。 以 VB 为 例 ， 在 VB 
中 ， 只 要 把 From 的 Visible 属性 设置 为 “False”，ShowInTaskBar 设 为 “False”， 程 序 就 
不 会 出 现在 任务 栏 里 了 。 


计算 机 网 络 安全 技术 国 


2. 在 任务 管理 器 里 隐藏 


查看 正在 运行 的 进程 最 简单 的 方法 就 是 按 下 Ctrl+Alt+Del 键 时 出 现 的 任务 管理 器 ,如 果 
你 按 下 Ctrl+AlttDel 键 后 可 以 看 见 一 个 木马 程序 在 运行 ， 那 么 这 肯定 不 是 什么 高 级 的 木马 。 
所 以 ， 木 马 会 干 方 百 计 地 伪装 自己 ， 使 自己 不 出 现在 任务 管理 器 里 ， 会 把 自己 设 为 “系统 
服务 ”， 可 以 使 自己 不 被 轻易 发 现 。 因此 ,希望 通过 按 Ctrl+Alt+Del 键 发 现 木 马 是 不 大 现实 的 。 


RC 木马 设计 者 
cl 拓 本 代理 , 
自古 经 营 过 程 
RN 
黑客 入 侵 恶意 代码 话 惑 信息 网 页 挂 马 木马 管理 者 


入 名 . ”时 


图 2.14 木马 的 工作 流程 
3. 在 端口 隐藏 


一 台 计 算 机 有 65 536 个 端口 ， 你 会 注意 这 么 多 端口 吗 ? 而 木马 就 很 “注意 ”你 的 端 

如 果 你 稍微 留意 一 下 ， 不 难 发 现 ， 大 多 数 木 马 使 用 的 端口 在 1024 以 上 ， 而 且 皇 越 来 越 大 的 
趋势 ， 当 然 也 有 占用 1024 以 下 端口 的 木马 ， 但 这 些 端 口 是 常 用 端口 ， 占 用 这 些 端 口 可 能 会 
造成 系统 不 正常 ， 这 样 的 话 ， 木 马 就 会 很 容易 暴露 。 也 许 你 知道 一 些 木 马 占 用 的 端口 ， 你 
或 许 会 经 常 扫描 这 些 端口 ， 但 现在 的 木马 都 提供 端口 修改 功能 ， 你 有 时 间 扫 描 65 536 个 端 
吗 ? 

4. 隐藏 通信 

隐藏 通信 也 是 木马 经 常 采 用 的 手段 之 一 。 任 何 木 马 运行 后 都 要 和 攻击 者 进行 通信 连接 ， 
或 者 通过 即时 连接 ， 如 攻击 者 通过 客户 端 直接 接 入 被 植 入 木马 的 主机 ; 或 者 通过 间接 通信 。 
如 通过 电子 邮件 的 方式 ， 木 马 把 侵入 主机 的 敏感 信息 送 给 攻击 者 。 现 在 大 部 分 木马 一 般 在 
占领 主机 后 会 在 1024 以 上 不 易 发 现 的 高 端口 上 驻 留 ， 有 一 些 木马 会 选择 一 些 常用 的 端口 ， 
如 80、23， 有 一 种 非常 先进 的 木马 还 可 以 做 到 在 占领 80HTTP 端口 后 ， 收 到 正常 的 HTTP 
请 求 仍然 把 它 交 与 Web 服务 器 处 理 , 只 有 收 到 一 些 特殊 约定 的 数据 包 后 , 才 调用 木马 程序 。 


5. 隐藏 加 载 方式 
木马 加 载 的 方式 可 以 说 千奇百怪 、 无 奇 不 有 ， 但 却 殊途同归 ， 都 为 了 达到 一 个 共同 的 


每 一 个 新 功能 都 会 导 
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目的 ， 那 就 是 使 用 户 运行 木马 的 服务 端 程序 。 而 随 着 网 站 互动 化 进程 的 不 断 进步 ， 越 来 越 
多 的 东西 可 以 成 为 木马 的 传播 介质 ，Java Script、VBScript、ActiveX、XLM…… 几 乎 WWW 


致 木马 的 快速 进化 。 


6. 最 新 隐身 技术 


在 Win 9x 时 代 ， 木 马 简单 地 注册 为 系统 进程 就 可 以 从 任务 栏 中 消失 ， 可 是 在 Windows 
盛行 的 今天 ， 这 种 方法 却 惨遭 失败 。 注 册 为 系统 进程 不 仅仅 能 在 任务 栏 中 看 到 ， 而 且 可 以 


直接 在 Services 中 直接 控制 停止 。 使 用 隐藏 窗 体 或 控制 台 的 方法 也 不 能 
“Admin 大 人 ”( 要 知道 ， 在 NT 下 ，Administrator 是 可 以 看 见 所 有 进程 的 )。 


次 骗 无 所 不 见 的 


在 研究 了 其 他 软件 的 长 处 之 后 ， 木 马 制 作者 发 现 ，Windows 下 的 中 文 汉化 软件 采用 的 


防护 技术 非常 适合 木马 的 使 用 。 这 是 一 种 更 新 、 更 隐蔽 的 方法 。 通 过 修改 


虚拟 设备 驱动 程 


序 (VXD) 或 修改 动态 链接 库 (DLU) 来 加 载 木 马 。 这 种 方法 与 一 般 方法 不 同 ， 它 基本 上 摆脱 
了 原 有 的 木马 模式 一 一 监听 端口 ， 而 采用 了 替代 系统 功能 的 方法 (改写 VXD 或 DLL 文件 )。 


木马 会 将 修改 后 的 DLL 文件 替换 系统 已 知 的 DLL， 并 对 所 有 函数 调用 进行 过 滤 。 对 于 常用 


的 调用 ， 使 用 函数 转发 器 直接 转发 给 被 修改 后 的 DLL， 进 行 一 些 相应 操作 。DLL 会 执行 一 
般 只 是 使 用 DLL 进行 监听 ， 一 旦 发 现 控制 端的 请 求 就 激活 自身 ， 绑 在 一 个 进程 上 进行 正常 


的 木马 操作 。 这 样 做 的 好 处 是 没有 增加 新 的 文件 ， 不 需要 打开 新 的 端 


， 没 有 新 的 进程 ， 


使 用 常规 的 方法 监测 不 到 它 。 在 往常 运行 时 ， 木 马 几 乎 没有 任何 痕迹 ， 且 木马 的 控制 端 向 


被 控制 端 发 出 特定 的 


信息 后 ， 隐 藏 的 程序 就 立即 开始 运作 。 


2.6.6 ”木马 的 启动 方式 


木马 是 随 计算 相 


或 Windows 的 启动 而 启动 的 ， 并 掌握 一 定 的 控制 权 ，3 


其 启动 方式 可 谓 


多 种 多 样 ， 如 通过 注册 表 启 动 、 通 过 System.ini 启动 、 通 过 某 些 特定 程序 启动 等 ， 让 人 防 不 


胜 防 。 本 小 节 为 大 家 
1. 通过 【开始 】 


隐蔽 性 : 2 星 
应 用 程度 : 较 低 


介绍 黑客 常用 的 木马 启动 方式 。 
菜单 


这 也 是 一 种 很 常见 的 方式 ， 很 多 正常 的 程序 都 用 它 ， 大 家 常用 的 QQ 就 是 用 这 种 方式 


实现 自动 启动 的 ， 但 木马 却 很 少 用 它 。 因 为 启动 组 的 每 个 程序 都 会 出 现在 【系统 配置 实用 


程序 】(msconfig.exe， 以 下 简称 msconfig) 中 。 事 实 上 ， 如 果 连 续 选 择 【 开 始 】~【 程 序 】 


一 【启动 】 命 令 ， 便 可 以 发 现 该 启动 项 则 一 般 人 都 会 注意 到 ， 所 以 绝 大 多 数 木 马 不 会 用 这 


种 启动 方式 。 


2. 通过 Win.ini 文件 


隐蔽 性 : 3 星 
应 用 程度 : 较 低 


同 启动 组 一 样 ， 这 也 是 从 Windows 3.2 开始 就 可 以 使 用 的 方法 ， 是 从 Win 16 延续 到 
Win 32 的 。 在 Windows 3.2 中 ，Win.ini 就 相当 于 Windows 9x 中 的 注册 表 ， 在 该 文件 中 的 
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Windows 域 中 的 Load 和 Run 项 会 在 Windows 启动 时 运行 ， 这 两 个 项 目 也 会 出 现在 
msconfig 中 。 

3. 通过 注册 表 启 动 

1) 通过 HKEY CURRENT_USER\Software\MicrosoftWindows\CurrentVersion\Run， 

HKEY LOCAL MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 和 HKEY 
LOCAL MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices 

隐蔽 性 : 3.5 星 

应 用 程度 : 极 高 

应 用 案例 : BO2000，GOP，NetSpy，IEthief， 冰 河 …… 

这 是 很 多 Windows 程序 都 采用 的 方法 ， 也 是 木马 最 常用 的 启动 方式 。 使 用 非常 方便 ， 
但 也 容易 被 人 发 现 ， 由 于 其 应 用 太 广 ， 因 此 几乎 提 到 木马 ， 就 会 让 人 想到 这 几 个 注册 表 中 
的 主键 ， 通 常 木马 会 使 用 最 后 一 个 。 使 用 Windows 自 带 的 程序 : msconfig 或 注册 表 编 辑 器 
(regedit.exe， 以 下 简称 regedib 都 可 以 将 它 轻易 地 删除 ， 所 以 这 种 方法 并 不 十 分 可 靠 。 但 攻 
击 者 可 以 在 木马 程序 中 加 一 个 时 间 控件 ， 以 便 实 时 监视 注册 表 中 自身 的 启动 键 值 是 否 存在 ， 
一 旦 发 现 被 删除 ， 则 立即 重新 写 入 ， 以 保证 下 次 Windows 启动 时 木马 能 被 运行 ， 这 样 木马 
程序 和 注册 表 中 的 启动 键 值 之 间 形 成 了 一 种 互相 保护 的 状态 。 木 马 程序 未 中 止 ， 启 动 键 值 
就 无 法 删除 (手工 删除 后 ， 木 马 程序 又 自动 添加 上 了 ); 相反 地 ， 不 删除 启动 键 值 ， 下 次 启动 
Windows 还 会 启动 木马 。 怎 么 办 呢 ? 其 实 破解 它 并 不 难 ， 即 使 在 没有 任何 工具 软件 的 情况 
下 也 能 轻易 解除 这 种 互相 保护 。 

破解 方法 : 首先 ， 以 安全 模式 启动 Windows， 这 时 ，Windows 不 会 加 载 注 册 表 中 的 项 
目 ， 因 此 木马 不 会 被 启动 ， 相 互 保护 的 状况 也 就 不 攻 自 破 了 ; 然后 ， 你 就 可 以 删除 注册 表 
中 的 键 值 和 相应 的 木马 程序 了 。 

2) 通过 HKEY LOCAL MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 
Once, HKEY CURRENT USER\Software\Microsoft\Windows\CurrentVersionNRunOnce 和 
HKEY _ LOCAL_MACHINE\Software\MicrosoftWindows\CurrentVersion\RunServicesOnce 


隐蔽 性 : 4 星 

应 用 程度 : 较 低 

应 用 案例 : Happy 99 月 

这 种 方法 好 像 用 得 不 是 很 多 , 但 隐蔽 性 比 上 一 种 方法 好 , 它 的 内 容 不 会 出 现在 msconfig 
中 。 在 这 个 键 值 下 的 项 目 和 上 一 种 相似 ， 会 在 Windows 启动 时 启动 ， 但 Windows 启动 后 ， 
该 键 值 下 的 项 目 就 会 被 清空 ， 因 而 不 易 被 发 现 ， 但 是 只 能 启动 一 次 ， 木 马 如 何 能 发 挥 效果 
呢 ? 其 实 很 简单 ， 木 马 一 次 启动 成 功 后 再 在 原来 的 地 方 添加 一 个 木马 就 行 了 。 在 Delphi 中 
这 不 过 是 3 一 5 行 的 程序 。 虽 说 这 些 项 目 不 会 出 现在 msconfig 中 ， 但 是 在 Regedit 中 却 可 以 
直接 将 它 删除 ， 那 么 木马 也 就 从 此 失效 了 。 还 有 一 种 方法 ， 不 是 在 启动 的 时 候 添加 而 是 在 
退出 Windows 的 时 候 添 加 ， 这 要 求 木 马 程序 本 身 要 截获 Windows 的 消息 ， 当 发 现 关闭 
Windows 消息 时 ,暂停 关闭 过 程 ,添加 注册 表 项 目 ,然后 才 开 始 关闭 Windows, 这 样 用 Regedit 
也 找 不 到 它 的 踪迹 了 。 这 种 方法 也 有 个 缺点 ， 就 是 一 旦 Windows 异常 中 止 ， 木 马 也 就 失效 
了 。 破 解 它们 的 方法 也 可 以 用 安全 模式 。 另外， 使 用 这 三 个 键 值 并 不 完全 一 样 ， 通 常 木马 
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会 选择 第 一 个 ， 因 为 在 第 二 个 键 值 下 的 项 目 会 在 Windows 启动 完成 前 运行 ， 并 等 待 程序 结 


束 会 才 继 续 启 动 Windows。 
4. 通过 Autoexec.bat 文件 或 winstart.bat、config.sys 文件 


隐蔽 性 : 3.5 星 
应 用 程度 : 较 低 


其 实 这 种 方法 并 不 适合 木马 使 用 ， 因 为 该 文件 会 在 Windows 启动 前 运行 ， 这 时 系统 处 

于 DOS 环境 ， 只 能 运行 16 位 应 用 程序 ，Windows 下 的 32 位 程序 是 不 能 运行 的 。 因 此 也 就 
失去 了 木马 的 意义 。 不 过 , 这 并 不 是 说 它 不 能 用 于 启动 木马 。 可 以 想象 , SoftIce for Win98( 功 
强大 的 程序 调试 工具 ， 被 黑客 奉 为 至 宝 ， 常 用 于 破解 应 用 程序 ) 也 是 先 要 在 Autoexec.bat 
文件 中 运行 ， 然 后 才能 在 Windows 中 呼叫 出 窗口 进行 调试 的 ， 既 然 如 此 ， 谁 能 保证 木马 不 
会 这 样 启 动 呢 ? 另外 ， 这 两 个 BAT 文件 常 被 用 于 破坏 ， 它 们 会 在 这 个 文件 中 加 入 类 似 
“Deltree C:\*.*” 和 “Format C:/u” 的 行 。 这 样 ， 在 你 启动 计算 机 后 还 未 启动 Windows， 你 


的 C 盘 已 然 空空 如 也 。 
5. 通过 System.ini 文件 


隐蔽 性 : 5 星 
应 用 程度 : 一 般 


事实 上 ，System.ini 文件 并 没有 给 用 户 可 用 的 启动 项 目 ， 然 而 通过 它 启动 木马 却 是 非常 
好 用 的 。 在 System.ini 文件 的 [Boot] 域 中 的 Shell 项 的 值 正常 情况 下 是 "Explorer.exe"， 这 是 
Windows 的 外 壳 程 序 ， 换 一 个 程序 就 可 以 彻底 改变 Windows 的 面貌 (如 改 为 Progman.exe 就 
可 以 让 Win 9x 变 成 Windows 3.2)。 我 们 可 以 在 "Explorer.exe" 后 加 上 木马 程序 的 路 径 ， 这 样 
Windows 启动 后 木马 也 就 随 之 启动 ， 而 且 即 使 是 安全 模式 启动 也 不 会 跳 过 这 一 项 ， 这 样 木 
马 也 就 可 以 保证 永远 随 Windows 启动 了 ,名 噪 一 时 的 尼 姆 达 病 毒 就 是 用 的 这 种 方法 。 这 时 ， 
如 果木 马 程序 也 具有 自动 检测 添加 Shell 项 的 功能 的 话 ， 那 简直 是 天 衣 无 颖 的 绝 配 ， 我 想 ， 
除了 使 用 查看 进程 的 工具 中 止 木 马 ， 再 修改 Shell 项 和 删除 木马 文件 外 是 没有 破解 之 法 了 。 
但 这 种 方式 也 有 个 先天 的 不 足 ， 因 为 只 有 Shell 这 一 项 ， 如 果 有 两 个 木马 都 使 用 这 种 方式 实 


现 自 启动 ， 那 么 后 来 的 木马 可 能 会 使 前 一 个 无 法 启动 。 
6. 通过 某 特定 程序 或 文件 启动 
1) ”寄生 于 特定 程序 之 中 
隐蔽 性 : 5 星 
应 用 程度 : 一 般 


即 木马 和 正常 程序 捆绑 ， 有 点 类 似 于 病毒 ， 程 序 在 运行 时 ， 木 马 程序 先 获得 控制 权 或 
另 开 一 个 线程 以 监视 用 户 操作 、 截 取 密 码 等 。 这 类 木马 编写 的 难度 较 大 ， 需 要 了 解 PE 文件 


结构 和 Windows 的 底层 知识 (直接 使 用 捆绑 程序 除外 )。 
2) ”将 特定 的 程序 改名 
隐蔽 性 : 5 星 
应 用 程度 : 常见 


这 种 方式 常见 于 针对 QQ 的 木马 ， 例 如 将 QQ 的 启动 文件 QQ2000b.exe， 改 为 
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QQ2000b.ico.exe(Windows 默认 是 不 显示 扩展 名 的 ， 因 此 它 会 被 显示 为 QQ2000b.ico， 而 用 
户 会 认为 它 是 一 个 图 标 )， 再 将 木马 程序 改 为 QQ2000b.exe， 此 后 ， 用 户 运 行 QQ， 实 际 是 运 
行 了 QQ 木马， 再 由 QQ 木马 去 启动 真正 的 QQ， 这 种 方式 实现 起 来 要 比 上 一 种 简单 得 多 。 

3) ”文件 关联 

隐蔽 性 : 5 星 

应 用 程度 : 常见 

通常 木马 程序 会 将 自己 和 TXT 文件 或 EXE 文件 关联 , 这样 当 你 打开 一 个 文本 文件 或 运 
行 一 个 程序 时 ， 木 马 也 就 神 不 知 鬼 不 觉 地 启动 了 。 这 类 通过 特定 程序 或 文件 启动 的 木马 ， 
发 现 其 比较 困难 ， 但 查 杀 并 不 难 。 一 般 地 ， 只 要 删除 相应 的 文件 和 注册 表 键 值 即 可 。 


2.6.7 木马 的 检测 


下 面具 体 说 说 我 们 如 何 能 自己 检测 出 木马 。 

(1) 在 win.ini 文件 中 ， 在 [WINDOWS] 下 面 ，“run=” 和 “load=” 是 可 能 加 载 木 马 程 
序 的 途径 ， 必 须 仔 细 留 心 它 们 。 一 般 情况 下 ， 它 们 的 等 号 后 面 什么 都 没有 ， 如 果 发 现 后 面 
跟 有 路 径 与 文件 名 不 是 你 熟悉 的 启动 文件 ， 你 的 计算 机 就 可 能 中 木马 了 。 当 然 ， 你 也 得 看 
清楚 ， 因 为 好 多 森马， 如 “AOL Trojan 木马 ”， 它 把 自身 伪装 成 command.exe 文件 ， 如 果 
不 注意 ， 可 能 不 会 发 现 它 不 是 真正 的 系统 启动 文件 。 

(2) 在 system.ini 文件 中 ， 在 BOOT 下 面 有 个 “shell= 文 件 名 ”。 正 确 的 文件 名 应 该 是 
“explorer.exe”， 如 果 不 是 “explorer.exe”， 而 是 “shell= explorer.exe” 程 序 名 ， 那 么 后 
跟着 的 那个 程序 就 是 木马 程序 ， 就 是 说 你 已 经 中 木马 了 。 如 图 2.15 所 示 。 


SC] 


中字 加 以 外 ，[nic]、 [driver]. [driver32] 


eyet em ini 


除了 [boot] 
个 EE 序 的 作用 


2.15 木马 在 system_ini 文件 中 的 检测 

(3) 在 注册 表 中 的 情况 最 复杂 ， 通 过 regedit 命令 打开 注册 表 编 辑 器 ， 再 单 击 至 : 
“HKEY-LOCAL-MACHINE/Software/Microsoft/Windows/CurrentVersion/Run” 目 录 下 ， 查 
看 键 值 中 有 没有 自己 不 熟悉 的 自动 启动 文件 ， 扩 展 名 为 .exe。 这 里 切记 : 有 的 木马 程序 生成 
的 文件 很 像 系 统 自身 文件 ， 想 通过 伪装 蒙混 过 关 ， 如 “Acid Battery v1.0 木马 ”， 它 将 注册 
表 “HKEY-LOCAL-MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run ”下 的 
Explorer 键 值 改 为 “Explorer=C: /WINDOWS/expiorer.exe”， 木 马 程序 与 真正 的 Explorer 

之 间 只 有 “i” 与 “1” 的 差别 。 当 然 ， 在 注册 表 中 还 有 很 多 地 方 都 可 以 隐藏 “木马 ”程序 ， 
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如 : “HKEY-CURRENT-USER/Software/Microsoft/Windows/CurrentVersion/Run”、“HKE-USE 
RS/ 大 炎炎 炎 /Software/Microsoft/Windows/CurrentVersion/Run” 的 目录 下 都 有 可 能 ， 最 好 的 
办 法 就 是 “HKEY-LOCAL-MACHINE/Software/Microsoft/Windows/CurrentVersion/Run ”下 
找到 木马 程序 的 文件 名 ， 再 在 整个 注册 表 中 搜索 即 可 。 如 图 2.16 所 示 。 
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2.6.8 ”木马 的 防御 与 清除 


本 小 节 是 讲 如 何不 使 用 任何 外 界 工具 简单 防御 和 清除 一 般 的 木马 病毒 ， 如 何 用 杀毒 软 
件 进 行 操作 将 在 下 一 章节 进行 说 明 。 
1. 基本 防御 思想 : 备份 胜 于 补救 


(1) 备份 。 装 好 机 器 之 后 ， 首 先 备份 C 盘 ( 系 统 盘 )windows 里 面 ， 和 C: \WIND 
OWS\system32 下 的 文件 目录 。 运 行 ，cmd 命令 如 下 : 

dir/a c:\WINDOWS\system 32 >c:\1.txt 

dir/a c:\windows >c:\2.txt 

这 样 就 备份 了 windows 和 system 32 下 面 的 文件 列表 ,dir/a 是 为 了 查看 隐藏 文件 ， 备 份 
位 置 放 在 C 根 目录 是 为 了 好 找 ， 因 为 木马 病毒 大 多 要 调用 动态 连接 库 。 如 果 觉 得 计算 机 有 
问题 ， 可 以 用 上 述 cmd 命令 列 出 文件 ， 在 此 下 面 ， 用 fc 命令 比较 一 下 ， 格 式 为 : 
他 1.txt?>c:14.txt， 其 中 “? ”代表 system 32 的 列表 ， 如 果真 有 问题 ，system 32 列表 为 3.txt， 
那么 fc 1.txt 3.txt >c:/4.txt， 可 以 对 system 32 进行 更 详细 的 列表 备份 ， 如 下 : 

cd c:\WINDOWS\system 32 

dir/a >c:\1.txt 

dir/a *.dll >c:\>2.txt 

dir/a *.exe >c:\>3.txt 

然后 把 这 些 备份 保存 在 一 个 地 方 ， 对 比 一 下 列表 便于 查看 多 出 了 哪些 DLL 或 者 EXE 
文件 ， 虽 然 有 一 些 是 安装 软件 的 时 候 产生 的 ， 并 不 是 病毒 木马 ， 但 还 是 可 以 提供 很 好 的 参 
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(2) 备份 进程 中 的 DLL，CMD 下 面 命令 


tasklist/m >c:/d11.txt 


这 样 正在 运行 的 进程 的 DLL 列表 就 会 出 现在 C 根 目录 下 面 。 以 后 可 以 对 照 , 对 于 DLL 
木马 ， 一 个 一 个 检查 太 麻 烦 ， 直 接 备 份 比较 方便 。 

(3) 备份 注册 表 

选择 【开始 】 一 【运行 】 命 令 ， 输入 REGEDIT 再 单 击 【 确 定 】 按 钮 ， 在 弹出 的 对 话 框 
中 连续 选择 【文件 】 一 【导出 】 一 【全 部 】 命 令 ， 随 便 找 一 个 地 方 保 存 即 可 。 

(4) 备份 C 盘 
单 击 【 开 始 】 菜 单 ， 依 次 选择 【所 有 程序 】 一 【附件 】 一 【系统 工具 】 一 【备份 】 命 
令 ， 选 择 自己 备份 的 内 容 ， 然 后 把 系统 备份 在 你 选 定 的 位 置 就 可 以 了 。 

当 系 统 出 现 故 障 ， 需 要 恢复 之 前 的 系统 时 ， 单 击 【开始 】 菜 单 ， 依 次 选择 【所 有 程序 】~ 
【附件 】 一 【系统 工具 】 一 【还 原 】 命 令 ， 找 到 备份 ， 还 原 回去 即 可 。 

这 个 方法 比 系统 还 原 好 用 ， 只 备份 才 安装 时 的 系统 就 好 ， 这 是 最 终 解决 方案 。 

2. 基本 防御 思想 : 防 “ 病 ” 胜 于 治 “ 病 ” 


(1) 关闭 共享 。 详 见 本 章 2.9 节 。 

(2) 关闭 Server，Telnet，Task Scheduler，Remote Registry 这 四 个 服务 可 以 防止 一 般 黑 
客 常 用 的 at 命令 等 。 但 关闭 以 后 ， 定 时 杀毒 、 定 时 升级 之 类 的 计划 任务 就 不 能 执行 了 。 

(3) 单 击 【 开 始 】 按 钮 ， 依 次 选择 【控制 面板 】 一 【管理 工具 】 一 【本 地 安全 策略 】 一 
【安全 策略 】 一 【本 地 策略 】 一 【安全 选项 】 命 令 ， 在 右边 的 对 话 框 中 依次 选择 【 重 命 名 
管理 员 账 户 】 和 【 重 命名 guest 用 户 】 命 令 。 账 户 名 最 好 是 起 一 个 中 文 名 字 的 ， 如 果 修 改 了 
管理 员 的 默认 空 命令 更 好 。 不 过 ， 一 般 改 一 个 名 字 就 足够 对 付 一 般 游戏 心态 的 黑客 。 高 手 
一 般 不 对 个 人 计算 机 感 兴趣 。 

(4) 网 络 连接 属性 里 面 除 了 TCP/IP 协议 外 其 他 的 全 部 停 用 ， 或 者 干脆 印 载 。 

(5) 关闭 远程 连接 。 在 计算 机 桌面 上 选择 【我 的 电脑 】， 碳 击 选择 【属性 】 命 令 ， 在 
弹出 的 对 话 框 中 单 击 【远程 】 窗口 ,选择 【取消 】 命令。 也 可 以 关闭 Terminal Services 服务 ， 
不 过 关闭 以 后 ， 任 务 管理 器 中 就 看 不 到 用 户 名 了 。 


3. 基本 解决 方法 ， 进 程 服务 注册 表 


(1) 首先 应 对 进程 服务 注册 表 有 一 个 简单 的 了 解 。 

(2) 检查 启动 项 目 ， 不 建议 运行 msconfig 命令 ， 而 要 仔细 查看 注册 表 的 run 项 目 ， 和 
文件 关联 ， 还 有 userinit， 还 有 shell 后 面 的 explorer.exe 是 不 是 被 改动 。 

(3) 检查 服务 。 选 择 【 开 始 】 一 【运行 】 命 令 ， 输入 msconfig， 在 弹出 的 对 话 框 中 选 
择 【 服 务 】 对 话 框 ， 单 击 选中 【隐藏 所 有 的 Microsoft 服务 】， 然 后 就 看 到 了 不 是 系统 自 带 
的 服务 ， 最 后 在 服务 里 选择 属性 ， 查 看 关联 的 文件 。 

(4) 进程 。 打 开 任 务 管理 器 ， 在 【查看 】 一 【选项 列 】 中 选中 PID 选项 ， 这 样 可 以 看 
到 PID, 所 谓 PID 简单 理解 就 是 进程 的 身份 证 。 单 击 一 个 进程 的 时 候 右键 有 一 个 选项 一 所 打 
开 所 在 目录 】， 这 个 可 以 看 到 进程 文件 所 在 的 文件 夹 ， 便 于 诊断 。 

(5) cmd 下 会 使 用 netstat -ano 命令 ， 可 以 查看 协议 端口 连接 和 远程 P。 
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(6) 删除 注册 表 中 {F935DC22-1CF0-11D0-ADB9-00C04FD58A0B} 和 {0D43FE01-F093- 
1 1CF-8940-00A0C9054228} 这 两 个 项 目 。 这 两 个 项 目 是 与 脚本 相关 的 ， 备 份 以 后 删除 ， 主 
要 是 防止 网 上 的 恶意 代码 。 


4. 一 个 简单 的 清除 例子 


(1) 对 象 是 包含 在 一 个 流行 BT 绿色 软件 里 面 的 木马 , 用 杀毒 软件 可 以 杀 出 , 但 是 错误 
判断 为 “ 灰 蚀 子 ”。 有 的 杀毒 软件 杀 不 出 来 。 以 下 说 的 是 不 用 任何 工具 的 判断 和 清除 ， 当 
然 任 何 工 具 中 包括 杀毒 软件 。 

(2) 中 毒 判断 。 使 用 时 ， 硬 盘 灯 忽然 无 故 狐 烈 闪 烁 。 系 统 有 短暂 速度 变 慢 现象 。 程 序 
有 不 正常 的 反应 ， 怀 疑 有 问题 。 

(3) 检查 服务 。 发 现 多 了 一 个 不 明 服务 ， 文 件 指 向 C:\Program Files\Internet Explorer 下 
的 Server.exe 文件 ， 这 明显 不 是 系统 自 带 的 文件 , 命令 行 下 查看 端口 ， 有 一 个 平常 没有 的 
口 连接 ， 发 现 不 明 进 程 ， 启 动 项 目 添加 Server.exe， 确 定 是 木马 。 

(4) ”清除 。 打 开 注 册 表 ， 关闭 进程 ， 删 除 启 动 项 目 ， 注 册 表 搜索 相关 服务 名 字 ， 删 除 ， 
删除 源 文件 。 同 时 检查 temp 文件 夹 ， 发 现 有 一 个 新 的 文件 来， 里 面 有 一 个 “ 免 杀 .exe” 文 
件 ， 删 除 ， 清 理 缓存 。 当 然 最 好 是 安全 模式 下 进行 。 

(5) 对 照 原 来 备份 的 System32 下 面 的 DLL 列表 ， 发 现 可 疑 DLL 文件 ， 删 除 ， 也 可 以 
右 击 选 择 【 选 择 详细 信息 】 选 项 ， 选 择 【 创 建 日 期 】( 这 个 系统 默认 是 没有 添加 的 )， 然 后 查 
看 详细 信息 ， 按 创建 日 期 显示 ， 可 以 发 现 新 创建 的 文件 。 这 个 木马 比较 简单 ， 没 有 修改 
文件 日 期 。 
注意 ; 一 定 不 要 忘记 清理 缓存 ， 因 为 很 多 文件 安装 或 者 下 载 的 时 候 是 存在 缓存 里 的 ， 
有 时 候 忘 记 清理 ， 病 毒 如 果 关 联 在 这 个 文件 上 ， 删 除 后 还 会 出 现 。 
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人 2.7 拒绝 服务 攻击 


2.7.1 拒绝 服务 攻击 概述 


拒绝 服务 攻击 (DoS: Denial of Service) 即 攻击 者 想 办 法 让 目标 机 器 停止 提供 服务 ， 是 黑 
客 常用 的 攻击 手段 之 一 。 其 实 对 网 络 带宽 进行 的 消耗 性 攻击 只 是 拒绝 服务 攻击 的 一 小 部 分 ， 
只 要 能 够 对 目标 造成 麻烦 ， 使 某 些 服务 被 暂停 甚至 主机 死机 ， 都 属于 拒绝 服务 攻击 。 拒 绝 
服务 攻击 问题 也 一 直 得 不 到 合理 的 解决 ， 究 其 原因 网 络 协议 本 身 的 安全 缺陷 造成 的 ， 因 此 
拒绝 服务 攻击 也 成 为 了 攻击 者 的 终极 手法 。 攻 击 者 进行 拒绝 服务 攻击 ， 实 际 上 让 服务 器 实 
现 两 种 效果 : 一 是 迫使 服务 器 的 缓冲 区 满 ， 不 接受 新 的 请 求 ， 二 是 使 用 IP 欺骗 ， 迫 使 服务 
器 把 合法 用 户 的 连接 复位 ， 影 响 合 法 用 户 的 连接 。 拒 绝 服务 攻击 的 目的 是 让 目标 计算 机 或 
网 络 无 法 提供 正常 的 服务 或 资源 访问 ， 使 目标 的 服务 系统 停止 响应 甚至 月 溃 ， 而 在 此 攻击 
中 并 不 包括 侵入 目标 服务 器 或 目标 网 络 设备 。 

这 些 服务 资源 包括 网 络 带宽 、 文 件 系统 空间 容量 、 开 放 的 进程 或 者 允许 的 连接 。 这 种 
攻击 会 导致 资源 匮乏 ， 无 论 计算 机 的 处 理 速度 多 快 、 内 存 容 量 多 大 、 网 络 带 宽 的 速度 多 快 
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都 无 法 避免 这 种 攻击 带 来 的 后 果 。 

能 找到 一 个 方法 使 请 求 的 值 大 于 服务 器 资源 的 支付 能 力 时 ， 就 会 故意 导致 所 提供 的 服 
务 资源 匮乏 ， 导 致 服务 资源 无 法 满足 需求 的 情况 。 所 以 ， 千 万 不 要 认为 拥有 了 足够 宽 的 带 
宽 和 足够 快 的 服务 器 就 有 了 一 个 不 怕 拒 绝 服务 攻击 的 高 性 能 网 站 ， 拒 绝 服务 攻击 会 使 所 有 
资源 都 变 得 非常 渺小 。 
其 实 ， 有 个 形象 的 比喻 可 以 深入 理解 DoS。 街 头 的 餐馆 是 为 大 众 提供 餐饮 服务 ， 如 果 
一 群 地 癌 流 谍 要 对 餐馆 进行 拒绝 服务 攻击 的 话 ， 手 段 会 很 多 ， 比 如 霸占 着 餐桌 不 结账 ， 堵 
住 餐馆 的 大 门 不 让 路 ， 骚 扰 餐 馆 的 服务 员 或 厨子 不 能 干 活 …… 相 应 地 ， 计 算 机 和 网 络 系统 
是 为 互联 网 用 户 提供 互联 网 资源 的 ， 如 果 有 黑客 要 进行 拒绝 服务 攻击 的 话 ， 同 样 会 有 很 多 
手段 ! 

今天 最 常见 的 拒绝 服务 攻击 包括 对 计算 机 网 络 的 带宽 攻击 和 连通 性 攻击 。 

带宽 攻击 是 指 以 极 大 的 通信 量 冲击 网 络 ， 使 得 所 有 可 用 网 络 资源 都 被 消耗 殉 尽 ， 最 后 
导致 合法 的 用 户 请 求 无 法 通过 。 连 通 性 攻击 是 指 用 大 量 的 连接 请 求 冲击 计算 机 ， 使 得 所 有 
可 用 的 操作 系统 资源 都 被 消耗 殉 尽 ， 最 终 计算 机 无 法 再 处 理 合法 用 户 的 请 求 。 

面 对 凶 多 吉 少 的 DoS 险滩 ， 该 如 何 应 对 随时 出 现 的 黑客 攻击 呢 ? 首先 分 析 一 下 DoS 攻 
击 的 一 些 原因 。 
(1) 软件 弱点 是 包含 在 操作 系统 或 应 用 程序 中 与 安全 相关 的 系统 缺陷 ， 这 些 缺 陷 大 多 
是 由 错误 的 程序 编制 、 粗 心 的 源 代 码 审核 、 无 心 的 副 效应 或 一 些 不 适当 的 绑 定 所 造成 的 。 
由 于 使 用 的 软件 几乎 完全 依赖 于 开发 商 ， 因 此 对 于 由 软件 引起 的 漏洞 只 能 依靠 打 补 丁 ， 安 
装 Hotfixes 和 Servicepacks 来 弥补 。 当 某 个 应 用 程序 被 发 现 有 漏洞 存在 时 ， 开 发 商会 立即 给 
出 一 个 更 新 的 版 本 来 修正 这 个 漏洞 。 而 由 开发 协议 固有 的 缺陷 导致 的 Dog 攻击 ， 则 可 以 通 
过 简单 的 补丁 来 加 以 弥补 。 
(2) 错误 配置 也 会 成 为 系统 的 安全 隐患 。 这 些 错 误 配 置 通常 发 生 在 硬件 装置 、 系 统 或 
者 应 用 程序 中 ， 大 多 是 由 于 一 些 没 经 验 的 、 无 责任 员工 或 者 错误 的 理论 所 导致 的 。 如 果 对 
网 络 中 的 路 由 器 、 防 火 墙 、 交 换 机 以 及 其 他 网 络 连接 设备 都 进行 正确 的 配置 ， 则 会 减 小 这 
些 错误 发 生 的 可 能 性 ， 因 此 这 种 漏洞 应 当 请 专业 的 技术 人 员 来 修正 这 些 问题 。 

(3) 重复 请 求 导致 过 载 的 拒绝 服务 攻击 。 当 对 资源 的 重复 请 求 大 大 超过 资源 的 支付 能 
力 时 ， 就 会 造成 拒绝 服务 攻击 (例如 ， 对 已 经 满载 的 Web 服务 器 进行 过 多 的 请 求 使 其 过 载 )。 

要 避免 系统 免 受 DoS 攻击 ， 从 前 两 点 原因 来 看 ， 网 络 管理 员 要 积极 、 谨 慎 地 维护 系统 ， 
确保 系统 无 安全 隐患 和 漏洞 ; 而 针对 第 三 点 的 恶意 攻击 方式 则 需要 安装 UTM 等 安全 设备 来 
过 滤 DoS 攻击 ， 同 时 强烈 建议 网 络 管理 员 应 当 定期 查看 安全 设备 的 日 志 ， 以 便 及 时 发 现 对 
系统 的 安全 威胁 行为 。 

UTM 设备 一 般配 置 在 网 关 的 位 置 ， 比 较 容 易 遭 受 DoS 攻击 。UTM 设备 通过 调用 内 部 
的 防 DoS 模块 ， 大 大 提高 了 抵御 DoS 攻击 的 能 力 ， 有 力 地 保障 了 网 络 的 正常 运行 。 

UTM 的 访问 控制 作为 设备 最 基本 的 技术 ， 除 了 将 其 对 用 户 的 访问 控制 功能 发 挥 到 极致 
外 ， 还 会 不 断 地 融合 各 种 新 技术 ， 起 到 一 个 稳定 的 平台 作用 。 

UTM 安全 网 关 正 在 不 断 提 高 其 算法 的 计算 能 力 ， 这 将 大 大 缩短 用 户 通 过 UTM 检测 所 
耗费 的 时 间 ， 提 高 访问 控制 功能 的 可 用 性 ; 同时 ， 它 还 可 积极 调用 IPS、 防 病毒 等 各 种 功能 
和 访问 控制 原 有 的 安全 策略 功能 ， 全 方位 地 对 通过 UTM 的 信息 进行 扫描 , 将 访问 控制 的 安 
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全 性 能 全 面 提升 。 因 此 ，UTM 作为 一 种 优秀 的 边界 安全 设备 ， 在 安全 领域 的 主导 地 位 正在 


2.7.2 ”拒绝 服务 攻击 原理 


拒绝 服务 攻击 是 一 种 对 网 络 危害 巨大 的 恶意 攻击 。 今 天 ，DoS 具有 代表 性 的 攻击 手段 
包括 Ping of Death、TearDrop、UDPflood、SYN Flood、LandAttack、IP Spoofing DoS 等 。 
下 面 ， 看 看 它们 又 是 怎么 实现 的 。 


1. ping 死亡 (Ping of Death) 攻 击 


互联 网 控制 信息 协议 (Internet Control Message Protocol, ICMP) 在 互联 网 上 用 于 错误 处 理 
和 传递 控制 信息 。 它 的 功能 之 一 是 与 主机 联系 ， 通 过 发 送 一 个 “回音 请 求 ”(Echo Request) 
信息 包 看 看 主机 是 否 “ 活 着 ”。 最 普通 的 Ping 程序 就 是 这 个 功能 。 而 在 TCP/IP 的 RFC 文 
档 中 对 包 的 最 大 尺寸 都 有 严格 限制 规定 ， 许 多 操作 系统 的 TCP/IP 协议 栈 都 规定 ICMP 包 大 
小 为 64KB， 且 在 对 包 的 标题 头 进行 读 取 之 后 ， 要 根据 该 标题 头 所 包含 的 信息 来 为 有 效 载 荷 
生成 缓冲 区 。 
“Ping of Death” 攻 击 就 是 故意 产生 畸形 的 测试 Ping(Packet Internet Groper) 包 ， 声 称 自 
己 的 尺寸 超过 ICMP 上 限 , 也 就 是 加 载 的 尺寸 超过 64KB 上 限 , 使 未 采取 保护 措施 的 网 络 系 
统 出 现 内 存 分 配 错误 ， 导 致 TCP/IP 协议 栈 裔 溃 ， 最 终 使 接收 方 宕 机 。 


2. 泪 滴 (Teardrop) 攻 击 


泪 滴 攻击 利用 那些 在 TCP/IP 协 议 栈 实现 时 信任 外 碎片 中 包 的 标题 所 包含 的 信息 来 实现 
攻击 。IP 分 段 含 有 指示 该 分 段 所 包含 的 原 信息 , 某 些 TCP /IP 协议 栈 在 收 到 含有 重合 偏 移 的 
伪造 分 段 时 将 月 溃 。 

3. UDP 洪水 (UDPflood) 攻 击 


如 今 在 Internet 上 UDP( 用 户 数据 包 协 议 ) 的 应 用 比较 广泛 ， 很 多 提供 WWW 和 Mail 等 
服务 的 设备 通常 使 用 UNIX 服务 器 , 它们 默认 打开 一 些 被 黑客 恶意 利用 的 UDP 服务。 如 Echo 
服务 会 显示 接收 到 的 每 一 个 数据 包 , 而 原本 作为 测试 功能 的 Chargen 服务 会 在 收 到 每 一 个 数 
据 包 时 随机 反馈 一 些 字符 ,UDPflood 假冒 攻击 就 利用 这 两 个 简单 的 TCP/IP 服务 的 漏洞 进行 
恶意 攻击 ,通过 伪造 与 某 一 主机 的 Chargen 服务 之 间 的 一 次 UDP 连接 ,反复 地 指向 开 着 Echo 
服务 的 一 台 主机 ， 通 过 将 Chargen 和 Echo 服务 互 连 ， 来 回 传送 毫 无 用 处 和 占 满 带宽 的 垃圾 
数据 ， 在 两 台 主机 之 间 生 成 足够 多 的 无 用 数据 流 ， 这 一 拒绝 服务 攻击 飞快 地 导致 网 络 可 用 
带宽 耗 尽 。 

4. SYN 洪水 (SYN Flood) 攻 击 


当 用 户 进行 一 次 标准 的 TCP(Transmission Control Protocol) 连 接 时 ， 会 有 一 个 “三 次 握 
手 ” 过 程 。 首 先是 请 求 服务 方 发 送 一 个 SYN(Synchronize Sequence Number) 消 息 ， 服 务 方 收 
到 SYN 后 ， 会 向 请 求 方 回 送 一 个 SYN-ACK 表示 确认 ， 当 请 求 方 收 到 SYN-ACK 后 ， 再 次 
向 服务 方 发 送 一 个 ACK 消息 ， 这 样 便 建 成 了 一 次 TCP 连接 。 
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“SYN Flood” 则 专门 针对 TCP 协议 栈 在 两 台 主 机 间 初 始 化 连接 握手 的 过 程 进行 DOS 
攻击 ， 其 在 实现 过 程 中 只 进行 前 两 个 步骤 : 当 服 务 方 收 到 请 求 方 的 SYN-ACK 确认 消息 后 ， 
请 求 方 由 于 采用 源 地 址 欺骗 等 手段 使 得 服务 方 收 不 到 ACK 回应 ， 于 是 服务 方 会 在 一 定时 间 
处 于 等 待 接收 请 求 方 ACK 消息 的 状态 。 而 对 于 某 台 服务 器 来 说 ， 可 用 的 TCP 连接 是 有 限 
的 ， 因 为 只 有 有 限 的 内 存 缓冲 区 用 于 创建 连接 ， 如 果 这 一 缓冲 区 充满 了 虚假 连接 的 初始 信 
息 ， 该 服务 器 就 会 对 接 下 来 的 连接 停止 响应 ， 直 至 缓冲 区 里 的 连接 请 求 超时 。 

如 果 恶 意 攻 击 方 快速 连续 地 发 送 此 类 连接 请 求 ， 该 服务 器 可 用 的 TCP 连接 队列 将 很 快 

被 阻塞 ， 系 统 可 用 资源 急剧 减少 ， 网 络 可 用 带宽 迅速 缩小 ， 长 此 下 去 ， 除 了 少数 幸运 用 户 

的 请 求 可 以 插 在 大 量 虚假 请 求 中 间 得 到 应 答 外 ， 服 务 器 将 无 法 向 用 户 提供 正常 的 合法 服务 。 
5. Land(LandAttack) 攻 击 


在 Land 攻击 中 ， 黑 客 利用 一 个 特别 打造 的 SYN 包 一 一 它 的 源 地 址 和 目标 地 址 都 被 设 
置 成 某 一 个 服务 器 地 址 进行 攻击 。 此 举 将 导致 服务 器 向 它 自己 的 地 址 发 送 SYN-ACK 消息 ， 
结果 这 个 地 址 又 发 回 ACK 消息 并 创建 一 个 空 连接 ， 每 一 个 这 样 的 连接 都 将 保留 直到 超时 ， 
在 Land 攻击 下 ， 许 多 UNIX 将 骨 溃 ，NT 变 得 极其 缓慢 。 


6. IP 欺骗 DoS 攻击 


这 种 攻击 利用 TCP 协议 栈 的 RST 位 来 实现 ， 使 用 IP 欺骗 ， 迫 使 服务 器 把 合法 用 户 的 

连接 复位 ， 影 响 合法 用 户 的 连接 。 假 设 现在 有 一 个 合法 用 户 (100.100.100.100) 已 经 同 服务 器 
建立 了 正常 的 连接 ， 攻 击 者 构造 攻击 的 TCP 数据 ,将 自己 的 人 P 伪装 为 100.100.100.100， 并 
向 服务 器 发 送 一 个 带 有 RST 位 的 TCP 数据 段 ， 而 服务 器 接收 到 这 样 的 数据 后 ， 认 为 从 
100.100.100.100 发 送 的 连接 有 错误 ， 就 会 清空 缓冲 区 中 已 建立 好 的 连接 。 这 时 ， 合 法 用 户 
100.100.100.100 再 发 送 合法 数据 ， 服 务 器 就 已 经 没有 这 样 的 连接 ， 该 用 户 就 会 因 被 拒绝 服 
务 而 只 能 重新 开始 建立 新 的 连接 了 。 
从 互联 网 诞生 以 来 ，DoS 攻击 就 伴随 着 互联 网 的 发 展 而 一 直 存 在 ， 并 且 不 断 发 展 和 
升级 。 值 得 一 提 的 是 ， 要 找 DoS 的 工具 一 点 不 难 ， 黑 客 群居 的 网 络 社区 都 有 共享 黑客 软件 
的 传统 ， 并 且 他 们 会 在 一 起 交流 攻击 的 心得 经 验 ， 这 些 工具 可 以 很 轻松 地 从 互联 网 上 获得 ， 
像 以 上 提 到 的 这 些 Dos 攻击 软件 都 是 可 从 网 上 随意 找到 的 公开 软件 。 

所 以 ， 任 何 一 个 上 网 者 都 可 能 构成 网 络 安全 的 潜在 威胁 。DoS 攻击 给 飞速 发 展 的 互联 
网 安全 带 来 重大 的 威胁 。 但 是 ， 从 某 种 程度 上 可 以 说 ，DoS 攻击 永远 不 会 消失 ， 而 且 从 技 
术 上 目前 还 没有 根本 的 解决 办 法 。 


2.7.3 分布 式 拒绝 服务 攻击 原理 


分 布 式 的 拒绝 服务 攻击 手段 DDoS) 是 在 传统 的 Dog 攻击 基础 上 产生 的 一 类 攻击 方式 。 
单一 的 DoS 攻击 一 般 是 采用 一 对 一 方式 的 ， 当 攻击 目标 CPU 速度 低 、 内 存 小 或 者 网 络 带宽 
小 等 各 项 性 能 指标 不 高 时 ， 它 的 效果 是 明显 的 。 随 着 计算 机 与 网 络 技术 的 发 展 ， 计 算 机 的 
处 理 能 力 迅速 增 长 ， 内 存 大 大 增加 ， 同 时 也 出 现 了 千 兆 级 别 的 网 络 ， 这 使 得 DoS 攻击 的 困 
难 程度 加 大 了 ， 目 标 对 恶意 攻击 包 的 “消化 能 力 ” 加 强 了 不 少 ， 例 如 你 的 攻击 软件 每 秒 钟 
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可 以 发 送 3000 个 攻击 包 , 但 我 的 主机 与 网 络 带宽 每 秒 钟 可 以 处 理 10 000 个 攻击 包 , 这 样 一 
来 攻击 就 不 会 产生 什么 效果 。 这 时 , 分 布 式 的 拒绝 服务 攻击 手段 (DDoS) 就 应 运 而 生 了 。DoS 
攻击 的 原理 很 简单 。 如 果 说 计算 机 与 网 络 的 处 理 能 力 加 大 了 10 倍 ， 用 一 台 攻 击 机 来 攻击 不 
再 能 起 作用 的 话 ， 攻 击 者 使 用 10 台 攻 击 机 同时 攻击 ， 甚 至 用 100 台 。DDoS 就 是 利用 更 多 
的 倪 偶 机 来 发 起 进攻 ， 以 比 从 前 更 大 的 规模 来 进攻 受害 者 。 高 速 广泛 连接 的 网 络 给 大 家 带 
来 了 方便 ， 也 为 DDoS 攻击 创造 了 极为 有 利 的 条 件 。 在 低速 网 络 时 代 时 ， 黑 客 占领 攻击 用 
的 倪 偶 机 时 ， 总 是 会 优先 考虑 离 目标 网 络 距离 近 的 机 器 ， 因 为 经 过 路 由 器 的 跳 数 少 ， 效 果 
好 。 而 现在 电信 骨干 节点 之 间 的 连接 都 是 以 G 为 级 别 的 ， 大 城市 之 间 更 可 以 达到 2.5G 的 连 
接 ， 这 使 得 攻击 可 以 从 更 远 的 地 方 或 者 其 他 城市 发 起 ， 攻 击 者 的 倪 偶 机 位 置 可 以 在 分 布 在 
更 大 的 范围 ， 选 择 起 来 更 灵活 了 。 

被 DDoS 攻击 时 的 现象 ; 四 被 攻击 主机 上 有 大 量 等 待 的 TCP 连接 ，@ 网 络 中 充斥 着 大 
量 无 用 的 数据 包 ， 源 地 址 为 假 ; @@ 制 造 高 流量 无 用 数据 ， 造 成 网 络 拥塞 ， 使 受害 主机 无 法 
正常 和 外 界 通信 ; @ 利 用 受害 主机 提供 的 服务 或 传输 协议 上 的 缺陷 ， 反 复 、 高 速 地 发 出 特 
定 的 服务 请 求 ， 使 受害 主机 无 法 及 时 处 理 所 有 正常 请 求 ，@@ 严 重 时 会 造成 系统 死机 。 

如 图 2.17 所 示 ， 一 个 比较 完善 的 DDoS 攻击 体系 分 成 四 大 部 分 ， 先 来 看 一 下 最 重要 的 
第 2 部 分 和 第 3 部 分 ， 它 们 分 别 用 做 控制 机 和 攻击 机 发 起 攻击 。 请 注意 控制 机 与 攻击 机 的 
区 别 ， 对 第 4 部 分 的 受害 者 来 说 ，DDoS 的 实际 攻击 包 是 从 第 3 部 分 攻击 倪 偶 机 上 发 出 的 
第 2 部 分 的 控制 机 只 发 布 命令 而 不 参与 实际 的 攻击 。 对 第 2 部 分 和 第 3 部 分 计算 机 ， 黑 客 
有 控制 权 或 者 是 部 分 的 控制 权 ， 并 把 相应 的 DDoS 程序 上 传 到 这 些 平台 上 ， 这 些 程序 与 正 
常 的 程序 一 样 运行 并 等 待 来 自 黑客 的 指令 ， 通 常 它 还 会 利用 各 种 手段 “隐藏 ”自己 不 被 别 
人 发 现 。 在 平时 ， 这 些 侧 偶 机 并 没有 什么 异常 ， 只 是 一 旦 黑客 连接 到 它们 进行 控制 ， 并 发 
出 指令 的 时 候 ， 攻 击 倪 偶 机 就 成 为 “ 害 人 者 ”去 发 起 攻击 了 。 


攻击 倪 偶 机 


站 


攻击 倪 偶 机 


攻击 倪 偶 机 


控制 便 偶 机 


击 侧 偶 机 


图 2.17 分 布 式 拒绝 服务 攻击 体系 结构 
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也 许 大 家 会 有 疑问 : “为 什么 黑客 不 直接 去 控制 攻击 侈 像 机 ， 而 要 从 控制 侈 偏 机 上 转 
一 下 呢 ? ”这 就 是 导致 DDoS 攻击 难以 追查 的 原因 之 一 了 。 从 攻击 者 的 角度 来 说 ， 他 肯定 
不 愿意 被 扎 到 ， 而 攻击 者 使 用 的 便便 机 越 多 ， 他 实际 上 提供 给 受害 者 的 分 析 依据 就 越 多 。 
在 占领 一 台 机 器 后 ， 高 水 平 的 攻击 者 会 首先 做 两 件 事 : 考虑 如 何 留 好 后 门 ，@ 考 虑 如 何 
清理 日 志 。 这 就 是 “ 擦 掉 脚印 ”， 不 让 自己 做 的 事 被 别人 察觉 到 。 不 太 敬 业 的 黑客 会 不 管 
三 七 二 十 一 把 日 志 全 都 删 掉 ， 但 这 样 的 话 ， 网 管 员 发 现 日 志 都 没 了 就 会 知道 有 人 干 了 坏事 
了 ， 顶 多 无 法 再 从 日 志 发 现 是 谁 干 的 而 已 。 相 反 ， 高 水 平 的 黑客 会 将 有 关 自 己 的 日 志 项 目 
删 掉 ， 让 人 看 不 到 异常 的 情况 ， 这 样 可 以 长 时 间 地 利用 佛 偶 机 。 

但 是 ， 在 攻击 倪 介 机 上 清理 日 志 实在 是 一 项 庞大 的 工程 ， 即 使 在 有 很 好 的 日 志清 理工 
有 具 的 帮助 下 ， 黑 客 也 是 对 这 个 任务 很 头痛 的 。 这 就 导致 了 有 些 攻击 机 上 的 “脚印 ”清理 得 
不 “干净 ”， 通 过 它 上 面 的 线索 找到 了 控制 它 的 上 一 级 计算 机 ， 如 果 这 上 级 的 计算 机 是 
客 自己 的 机 器 ， 那 么 他 就 会 被 “ 揪 ” 出 来 了 。 但 如 果 这 是 控制 用 的 倪 伪 机 ， 黑 客 自身 还 是 
安全 的 。 如 果 控 制 倪 偶 机 的 数目 相对 很 少 ， 一 般 一 台 就 可 以 控制 几 十 台 攻击 机 ， 清 理 一 台 
计算 机 的 日 志 对 黑客 来 讲 就 轻松 多 了 ， 这 样 从 控制 机 再 找到 黑客 的 可 能 性 也 会 大 大 降低 。 

黑客 是 如 何 组 织 一 次 DDoS 攻击 的 ? 这 里 用 “组 织 ” 这 个 词 ， 是 因为 DDoS 并 不 像 入 
侵 一 台 主 机 那样 简单 。 一 般 来 说 ， 黑 客 进 行 DDoS 攻击 时 会 经 过 这 样 的 步骤 。 


1. 搜集 、 了 解 目标 的 情况 


下 列 情况 是 黑客 非常 关心 的 情报 。 

(1) 被 攻击 目标 主机 数目 、 地 址 情况 。 

(2) 目标 主机 的 配置 、 性 能 。 

(3) 目标 的 带宽 。 

对 于 DDoS 攻击 者 来 说 ， 攻 击 互联 网 上 的 某 个 站 点 ， 如 http://www.mytarget.com， 有 一 
个 重点 就 是 确定 到 底 有 多 少 台 主 机 在 支持 这 个 站 点 ， 一 个 大 的 网 站 可 能 有 很 多 台 主 机 利 上 
负载 均衡 技术 提供 同一 个 网 站 的 www 服务 。 以 yahoo 为 例 ， 一 般 下 列 地 址 都 是 提供 
http://www.yahoo.com 服务 的 。 

66.218.71.80 

66.218.71.81 

66.218.71.83 

66.218.71.84 

66.218.71.86 

66.218.71.87 

66.218.71.88 

66.218.71.89 

如 果 要 进行 DDoS 攻击 的 话 ， 应 该 攻击 哪 一 个 地 址 呢 ? 要 使 66.218.71.87 这 台 机 器 

“次 掉 ”， 但 其 他 的 主机 还 是 能 向 外 提供 www 服务 的 ， 所 以 想 让 别人 访问 不 到 

http://www.yahoo.com 的 话 ， 要 使 所 有 这 些 IP 地 址 的 机 器 都 瘫 掉 才 行 。 在 实际 应 用 中 , 一 个 
IP 地 址 往往 还 代表 着 数 台 机 器 : 网 站 维护 者 使 用 了 四 层 或 七 层 交换 机 来 做 负载 均衡 ， 把 对 
一 个 全 地 址 的 访问 以 特定 的 算法 分 配 到 下 属 的 每 个 主机 上 去 。 这 时 对 于 DDoS 攻击 者 来 说 


狗 


寺 
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情况 就 更 复杂 了 ， 他 面 对 的 任务 可 能 是 让 几 十 台 主 机 的 服务 都 不 能 正常 工作 。 


此 ， 事 先 搜 集 情报 对 DDoS 攻击 者 来 说 是 非常 重要 的 ， 这 关系 到 使 用 多 少 台 倪 候 机 


才能 达到 效果 的 问题 。 简 单 地 考虑 一 下 ， 在 相同 的 条 件 下 ， 攻 击 同一 站 点 的 2 台 主 机 需要 2 
台 俐 仿 机 的 话 ， 攻 击 5 台 主 机 可 能 就 需要 5 台 以 上 的 佛 介 机 。 有 人 说 做 攻击 的 倪 偶 机 越 多 


越 好 ， 不 管 你 有 多 少 台 主 机 我 都 用 尽量 多 的 倪 偶 机 来 攻 就 是 了 ， 只 要 倪 候 机 的 数量 大 于 主 


机 的 数量 即 可 。 
但 在 实际 过 程 中 ， 有 很 多 黑客 并 不 进行 情报 的 搜集 ， 而 是 直接 进行 DDoS 的 攻 刘 
样 攻击 的 盲目 性 就 很 大 ， 效 果 如 何 也 要 靠 运 气 。 
2. 占领 便便 机 


黑客 最 感 兴 趣 的 是 有 下 列 情 况 的 主机 。 
(1) 链 路 状态 好 的 主机 。 

(2) 性 能 好 的 主机 。 

(3) 安全 管理 水 平 差 的 主机 。 


yy 


这 


这 一 部 分 实际 上 是 使 用 了 另 一 大 类 的 攻击 手段 :利用 型 攻击 。 这 是 和 DDoS 并 列 的 攻 
击 方式 。 简 单 地 说 ， 就 是 占领 和 控制 被 攻击 的 主机 ， 取 得 最 高 的 管理 权限 ， 或 者 至 少 得 到 
一 个 有 权限 完成 DDoS 攻击 任务 的 账号 。 对 于 一 个 DDoS 攻击 者 来 说 ， 准 备 好 一 定数 量 的 


侯 侧 机 是 一 个 必要 的 条 件 ， 下 面 说 明 他 是 如 何 攻 击 并 占领 它们 的 。 


首先 ， 黑 客 做 的 工作 一 般 是 扫描 ， 随 机 地 或 者 是 有 针对 性 地 利用 扫描 器 去 发 现 互联 网 
上 那些 有 漏洞 的 机 器 ， 像 程序 的 溢出 漏洞 、cgi、Unicode、ftp、 数 据 库 漏 洞 ……( 人 简直 举 不 


胜 举 )， 都 是 黑客 希望 看 到 的 扫描 结果 。 随 后 就 是 尝试 入 侵 了 ， 有 具体 的 手段 就 不 在 这 号 
了 ， 感 兴趣 的 话 网 上 有 很 多 关于 这 些 内 容 的 文章 。 
总 之 , 黑客 现在 占领 了 一 台 伯 偶 机 了 。 然后 他 做 什么 呢 ? 除了 上 面 说 过 “ 留 后 门 ” 


脚印 ”这 些 基 本 工作 之 外 ， 他 会 把 DDoS 攻击 用 的 程序 发 送 过 去 ， 一 般 是 利用 ftp。 在 攻击 


机 上 ， 会 有 一 个 DDoS 的 发 包 程 序 ， 黑 客 就 是 利用 它 来 向 受害 目标 发 送 恶意 攻击 包 的 。 


3. 实际 攻击 


有 多 说 


“ 擦 


经 过 前 两 个 阶段 的 精心 准备 之 后 ， 黑 客 就 开始 瞄准 目标 准备 发 射 了 。 前 面 的 准备 做 得 
好 的 话 ， 实 际 攻击 过 程 反 而 是 比较 简单 的 。 就 像 图 2.18 中 所 示 里 的 那样 ， 黑 客 登录 到 作为 
控制 台 的 伯 候 机 ， 向 所 有 攻击 机 发 出 命令 : “预备 …… 瞄 准 …… 开 火 ! ”这 时 候 埋伏 在 攻 
击 机 中 的 DDoS 攻击 程序 就 会 响应 控制 台 的 命令 ， 一 起 向 受害 主机 以 高 速度 发 送 大 量 的 数 
据 包 ， 导 致 它 死机 或 无 法 响应 正常 的 请 求 。 黑 客 一 般 会 以 远 远 超出 受害 方 处 理 能 力 的 速度 


进行 攻击 。 


有 经 验 的 攻击 者 一 边 攻击 ， 还 会 用 各 种 手段 来 监视 攻击 的 效果 ， 以 便 在 需要 的 时 候 进 


行 一 些 调整 。 简单 些 就 是 开 个 窗口 不 断 地 ping 目标 主机 ， 在 能 接 到 
些 流量 或 是 再 命令 更 多 的 倪 候 机 来 加 入 攻击 。 


五 


应 的 时 候 就 再 加 大 一 


现在 来 看 一 个 DDoS 攻击 实例 一 一 SYN Flood 攻击 。SYN Flood 是 目前 最 流行 的 DDoS 


攻击 手段 , 早先 的 DoS 手段 在 向 分 布 式 这 一 阶段 发 展 的 时 候 也 经 历 了 浪 里 淘 沙 的 过 程 . SYN 
Flood 的 攻击 效果 最 好 , 这 该 是 众 黑客 不 约 而 同 选 择 它 的 原因 吧 。 那么 我 们 一 起 来 看 看 SYN 
Flood 的 详细 情况 。 下 图 是 Syn Flood 的 原理 一 一 三 次 握手 ，SYN Flood 利用 了 TCP/IP 协议 


计算 机 网 络 安全 技术 国 


的 固有 漏洞 。 面 向 连接 的 TCP 三 次 握手 是 SYN Flood 存在 的 基础 。 

如 图 2.18 所 示 , 在 第 一 步 中 , 客户 端 向 服务 端 提出 连接 请 求 。 这 时 TCP SYN 标志 置 位 。 
客户 端 告诉 服务 端 序列 号 区 域 合法 ， 需 要 检查 。 客 户 端 在 TCP 报头 的 序列 号 区 中 插入 自己 
的 ISN。 服 务 端 收 到 该 TCP 分 段 后 ， 在 第 二 步 以 自己 的 ISN 回应 (SYN 标志 置 位 )， 同 时 确 
认 收 到 客户 端的 第 一 个 TCP 分 段 (ACK 标志 置 位 )。 在 第 三 步 中 ， 客 户 端 确认 收 到 服务 端的 
ISN(ACK 标志 置 位 )。 到 此 为 止 建立 完整 的 TCP 连接 ， 开 始 全 双 工 模式 的 数据 传输 过 程 。 


客户 机 
全 Rs 
@ ACK 


图 2.18 SYN Flood 的 原理 


假设 一 个 用 户 向 服务 器 发 送 了 SYN 报 文 后 突然 死机 或 掉 线 ， 那 么 服务 器 在 发 出 
SYN+ACK 应 答 报 文 后 是 无 法 收 到 客户 端的 ACK 报 文 的 (第 三 次 握手 无 法 完成 )， 如 图 2.19 
所 示 。 这 种 情况 下 服务 器 端 一 般 会 重 试 (再 次 发 送 SYN+ACK 给 客户 端 ) 并 等 待 一 段 时 间 后 丢 
弃 这 个 未 完成 的 连接 , 这 段 时 间 的 长 度 我 们 称 为 SYN Timeout, 一 般 来 说 这 个 时 间 是 分 钟 的 
数量 级 (大 约 为 30s 一 2min); 一 个 用 户 出 现 异 常 导致 服务 器 的 一 个 线程 等 待 Imin 并 不 是 什么 
很 大 的 问题 ， 但 如 果 有 一 个 恶意 的 攻击 者 大 量 模拟 这 种 情况 ， 服 务 器 端 将 为 了 维护 一 个 非 
常 大 的 半 连 接 列 表 而 消耗 非常 多 的 资源 一 一 数 以 万 计 的 半 连 接 ， 即 使 是 简单 地 保存 并 遍历 
也 会 消耗 非常 多 的 CPU 时 间 和 内 存 ， 何 况 还 要 不 断 对 这 个 列表 中 的 人 进行 SYN+ACK 的 
重 试 。 实 际 上 如 果 服 务 器 的 TCP/IP 栈 不 够 强大 ， 最 后 的 结果 往往 是 堆栈 溢出 崩溃 。 即 使 服 
务 器 端的 系统 足够 强大 ， 服 务 器 端 也 将 忙于 处 理 攻击 者 伪造 的 TCP 连接 请 求 而 无 暇 理 皮 客 
户 的 正常 请 求 (毕竟 客户 端的 正常 请 求 比率 非常 小 )， 此 时 从 正常 客户 的 角度 看 来 ， 服 务 器 失 
去 响应 ， 这 种 情况 我 们 称 作 服务 器 端 受到 了 SYN Flood 攻击 (SYN 洪水 攻击 )。 


攻击 机 


2.19 ”SYN Flood 恶意 地 不 完成 “三 次 握手 ” 
下 面 是 模拟 的 一 次 SYN Flood 攻击 的 实际 过 程 。 
在 一 个 局 域 网 环境 内 ,只 有 一 台 攻 击 机 (PIII667/128/mandrake), 被 攻击 的 是 一 台 Solaris 
8.0 (Spark) 的 主机 ， 网 络 设备 是 Cisco 的 百 兆 交换 机 。 这 是 在 攻击 并 未 进行 之 前 ， 在 Solaris 
上 进行 Snoop 的 记录 ，Snoop 与 Tcpdump 等 网 络 监听 工具 一 样 ， 也 是 一 个 很 好 的 网 络 抓 包 
与 分 析 的 工具 。 可 以 看 到 攻击 之 前 ， 目 标 主 机 上 接 到 的 基本 上 都 是 一 些 普通 的 网 络 包 。 如 
图 2.20 所 示 。 
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-> (broadcast) ETHER Type=886F (Unknown), size = 1510 bytes 
-> (broadcast) ETHER Type=886F (Unknown), size = 1510 bytes 
(multicast) ETHER Type=0000 (LLC/802.3), size = 52 bytes 
? (broadcast) ETHER Type=886F (Unknown), Size = 1510 bytes 
192.168.0.66 -> 192.168.0.255 NBT Datagram Service Type=17 Source=GU[O] 
192.168.0.210 -> 192.168.0.255 NBT Datagram Service Type=17 Source=ROOTDC[20] 
192.168.0.247 -> 192.168.0.255 NBT Datagram Service Type=17 Source=TSC[0] 

? -> (broadcast) ETHER Type=886F (Unknown), size = 1510 bytes 
192.168.0.200 -> (broadcast) ARP C Who is 192.168.0.102, 192.168.0.102 ? 

? -> (broadcast) ETHER Type=886F (Unknown), size = 1510 bytes 

? -> (broadcast) ETHER Type=886F (Unknown), size = 1510 bytes 
192.168.0.66 -> 192.168.0.255 NBT Datagram Service Type=17 Source=GU[0] 
192.168.0.66 -> 192.168.0.255 NBT Datagram Service Type=17 Source=GU[o] 
192.168,0.210 -> 192.168.0.255 NBT Datagram Service Type=17 Source=ROOTDC[20; 

? -> (multicast) ETHER Type=0000 (LLC/802.3), size = 52 bytes 


SEE 


? -> (broadcast) ETHER Type=886F (Unknown), size = 1510 bytes 
? -> (broadcast) ETHER Type=886F (Unknown), size = 1510 bytes 


图 2.20 目标 主机 上 接 到 的 普通 的 网 络 包 


接着 ， 攻 击 机 开始 发 包 ，DDoS 开始 了 …… 突 然 间 Solaris 主机 上 的 Snoop 窗口 开始 飞 
速 地 翻 屏 ， 显 示 出 接 到 数量 巨大 的 SYN 请 求 。 这 时 的 屏幕 就 好 像 是 时 速 300 公里 的 列车 上 
的 一 扇 车 窗 。 如 图 2.21 所 示 ， 这 是 在 SYN Flood 攻击 时 的 Snoop 输出 结果 。 


127.0.0.178 -> lab1i83.1ab.net AUTH C port=1352 

127.0.0.178 -> lab1i83.1ab.net TCP 14 S=1352 Syn Seq=674711609 Len=0 Win=65535 
127.0.0.178 -> 1ab183.1ab.net TCP 15 S=1352 Syn Seq=674711609 Len=0 Win=65535 
127.0.0.178 -> 1ab183.1ab.net UUCP-PATH C port=1352 

127.0.0.178 -> lab183.1ab.net TCP D=118 S=1352 Syn Seq=674711609 Len=0 Win=65535 
127.0.0.178 -> lab183.1ab.net 
127.0.0.178 -> lab1i83.1ab.net 
127.0.0.178 -> lab1i83.1ab.net 
127.0.0.178 -> lab1i83.1ab.net 
127.0.0.178 -> 1ab1l83.1ab.net 
127.0.0.178 -> lab1i83.1ab.net 
127.0.0.178 -> lab1i83.1ab.net 
127.0.0.178 -> lab183.1ab.net 
127.0.0.178 -> lab183.1ab.net 
1ab1i83.1ab.net 
1ab183. 1ab. net 


S=1352 Syn Seq=674711609 Len=0 Win=65535 
S=1352 Syn Seq=674711609 Len=0 Win=65535 
S=1352 Syn Seq=674711609 Len=0 Win=65535 
S=1352 Syn Seq=674711609 Len=0 Win=65535 
S=1352 Syn Seq=674711609 Len=0 Win=65535 
S=1352 Syn Seq=674711609 Len=0 Win=65535 
352 Syn Seq=674711609 Win=65535 
352 Syn Seq=674711609 Win=65535 
352 Syn Seq=674711609 Len=0 Win=65535 
S=1352 Syn Seq=674711609 Len=0 Win=65535 


图 2.21 Syn Flood 攻击 时 的 Snoop 输出 结果 


这 时 候 内 容 完全 不 同 了 ， 再 也 收 不 到 刚才 那些 正常 的 网 络 包 ， 只 有 DDoS 包 。 请 注意 ， 
这 里 所 有 SYN Flood 攻击 包 的 源 地 址 都 是 伪造 的 ， 给 追查 工作 带 来 很 大 困难 。 这 时 在 被 攻 
击 主机 上 积累 了 多 少 SYN 的 半 连 接 呢 ? 我 们 用 Netstat 来 看 一 下 ， 结 果 如 图 2.22 所 示 。 


# netstat -an | grep SYN 


192.168.0.183.9 127.0.0.79.1801 D 0 24656 0 SYN_LRCVD 
192.168.0.183.13 127.0.0.79.1801 0 0 24656 0 SYN_LRCVD 
192.168.0.183.19 127.0.0.79.1801 0 0 24656 0 SYN_LRCVD 
192.168.0.183.21 127.0.0.79.1801 0 0 24656 0 SYN_RCVD 
192.168.0.183.22 127.0.0.79.1801 D 0 24656 0 SYN_LRCVD 
192.168.0.183.23 127.0.0.79.1801 D 0 24656 0 SYN_RCVD 
192.168.0.183.25 127.0.0.79.1801 0 0 24656 0 SYN_LRCVD 
192.168.0.183.37 127.0.0.79.1801 0 0 24656 0 SYNLRCVD 
192.168.0.183.53 127.0.0.79.1801 0 0 24656 0 SYN_RCVD 


图 2.22 Netstat 查询 结果 
h SYN_RCVD 表示 当前 未 完成 的 TCP SYN 队列 ， 统 计 一 下 : 


| 
下 


# netstat -an | grep SYN | wc -1 
5273 
# netstat -an | grep SYN | wc -1 
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5154 
# netstat -an | grep SYN | wc -1 
5267 


共有 5000 多 个 SYN 的 半 连 接 存储 在 内 存 中 。 这 时 ， 被 攻击 机 已 经 不 能 响应 新 的 服务 
请 求 了 ， 系 统 运行 非常 慢 ， 也 无 法 ping 通 。 


2.8 缓冲 区 的 溢出 


2.8.1 缓冲 区 溢出 攻击 概述 


长 期 以 来 ， 缓 冲 区 溢出 已 经 成 为 系统 软件 和 应 用 软件 的 一 个 问题 。 利 用 计算 机 缓冲 区 
溢出 漏洞 进行 攻击 的 最 著名 的 案例 是 发 生 在 1988 年 11 月 的 英里 斯 蠕虫 。 但 即使 其 危害 
所 共 知 ， 缓 冲 区 溢出 仍然 是 现在 入 侵 的 一 个 重要 手段 。 那 么 ， 什 么 是 缓冲 区 溢出 ? 为 什么 
即使 这 个 问题 和 解决 办 法 众所周知 ， 仍 然 是 程序 存在 弱点 的 重要 原因 ? 普通 用 户 该 怎么 做 ， 
才能 彻底 将 入 侵 者 阻止 在 他 们 的 计算 机 系统 之 外 ? 

缓冲 区 溢出 (Buffer Overflow, 又 称 堆栈 溢出 ) 攻 击 是 最 常用 的 黑客 技术 之 一 。 我 们 知道 ， 
UNIX 本 身 以 及 其 上 的 许多 应 用 程序 都 是 用 C 语言 编写 的 , C 语言 不 检查 缓冲 区 的 边界 。 在 
某 些 情况 下 ， 如 果 用 户 输入 的 数据 长 度 超过 应 用 程序 给 定 的 缓冲 区 ， 就 会 覆盖 其 他 数据 区 。 
这 称 作 “堆栈 溢出 或 缓冲 溢出 ”。 

一 般 情况 下 ， 和 覆盖 其 他 数据 区 的 数据 是 没有 意义 的 ， 最 多 造成 应 用 程序 错误 。 但 是 ， 
如 果 输 入 的 数据 是 经 过 黑客 精心 设计 的 ， 和 覆盖 堆栈 的 数据 恰恰 是 黑客 的 入 侵 程 序 代 码 ， 黑 
客 就 获取 了 程序 的 控制 权 。 如 果 该 程序 恰好 是 以 Root 运行 的 ， 黑 客 就 获得 了 Root 权限 ， 然 
后 他 就 可 以 编译 黑客 程序 、 留 下 入 侵 后 门 等 ， 实 施 进一步 地 攻击 。 按 照 这 种 原理 进行 的 黑 
客 入 侵 就 叫 作 “堆栈 溢出 攻击 ”。 

为 了 便于 理解 ， 我 们 不 妨 打 个 比方 。 缓 冲 区 溢出 好 比 是 将 十 磅 的 糖 放 进 一 个 只 能 装 5 
磅 的 容器 里 。 一 旦 该 容器 放 满 了 ， 余 下 的 部 分 就 溢出 在 柜台 和 地 板 上 ， 和 弄 得 一 团 糟 。 由 于 
计算 机 程序 的 编写 者 写 了 一 些 编码 ， 仿生 全 和 各 全 二 条 到 靖国 民生 肌 全 全 磅 的 容器 
结果 可 能 造 
成 缓冲 区 滋 出 的 产生 。 如 果 打算 被 放 进 新 地 方 的 数据 不 适合 ， 溢 得 到 处 都 是 该 数据 也 会 
制造 很 多 麻烦 。 但 是 ， 如 果 缓 冲 区 仅仅 溢出 ， 这 只 是 一 个 问题 。 到 此 时 为 止 ， 它 还 没有 破 
坏 性 。 当 糖 溢出 时 ， 柜 台 被 盖 住 。 可 以 把 糖 擦 掉 或 用 吸尘器 吸 走 ， 还 柜台 本 来 面貌 。 与 之 
相对 的 是 ， 当 缓冲 区 溢出 时 ， 过 剩 的 信息 覆盖 的 是 计算 机 内 存 中 以 前 的 内 容 。 除 非 这 些 被 
覆盖 的 内 容 被 保存 或 能 够 恢复 ， 否 则 就 会 永远 丢失 。 

在 丢失 的 信息 里 有 能 够 被 程序 调用 的 子 程序 的 列表 信息 ， 直 到 缓冲 区 溢出 发 生 。 另 外 ， 
给 那些 子 程序 的 信息 一 一 参数 一 一 也 丢失 了 , 这 意味 着 程序 不 能 得 到 足够 的 信息 从 子 程序 返 
回 ， 以 完成 它 的 任务 。 就 像 一 个 人 步行 穿 过 沙漠 。 如 果 他 依赖 于 他 的 足迹 走 回头 路 ， 当 沙 
暴 来 袭 抹 去 了 这 些 痕 迹 时 ， 他 将 迷失 在 沙漠 中 。 信 息 的 丢失 比 程序 仅仅 迷失 方向 严重 多 了 。 
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入 侵 者 用 精心 编写 的 入 侵 代 码 (一 种 恶意 程序 ) 使 缓冲 区 溢出 , 然后 告诉 程序 依据 预 设 的 方法 
处 理 缓冲 区 ， 并 且 执 行 ， 此 时 的 程序 已 经 完全 被 入 侵 者 操纵 了 。 

入 侵 者 经 常 改编 现 有 的 应 用 程序 运行 不 同 的 程序 。 例 如 ， 一 个 入 侵 者 能 启动 一 个 新 的 
程序 ， 发 送 秘密 文件 (支票 本 记录 、 口 令 文 件 或 财产 清单 ) 给 入 侵 者 的 电子 邮件 。 这 就 好 像 不 
仅仅 是 沙 暴 吹 了 脚印 ， 而 且 后 来 者 也 会 踩 出 新 的 脚印 ， 将 我 们 的 迷路 者 领 向 不 同 的 地 方 ， 
领 向 他 自己 一 无 所 知 的 地 方 。 


2.8.2 缓冲 区 溢出 攻击 原理 


按照 被 攻击 的 缓冲 区 所 处 的 位 置 , 缓冲 区 溢出 大 致 可 分 为 两 类 : 堆 溢出 (Heap Overflow) 
和 栈 溢出 (Stack Overflow)。 栈 溢出 较为 简单 ， 我 们 先 以 一 些 实例 介绍 栈 溢出 ， 然 后 再 介绍 
堆 溢 出 的 一 般 原 理 。 

我 们 知道 ， 栈 (Stack) 是 一 种 基本 的 数据 结构 ， 具 有 后 入 先 出 的 性 质 。 在 调用 函数 时 ， 实 
际 参数 (Arguments)、 返 回 地 址 (Return Address)、 局 部 变量 (Local Variables) 都 位 于 栈 上 ， 栈 
是 自 高 向 低 增 长 (先入 栈 的 地 址 较 高 ), 栈 指针 (Stack Pointer) 寄 存 器 ESP 始终 指向 栈 顶 元 素 。 
以 图 2.24 中 的 简单 程序 为 例 , 我 们 先 将 它 编译 为 可 执行 文件 , 然后 在 gdb 中 反 汇 编 并 跟踪 
其 运行 : 


$ gcc stack.c-o stack -ggdb -mperferred-stack-boundary=2 


在 IA32 上 ，8gcc 默认 按 8 字 节 对 齐 ， 为 了 突出 主题 ， 我 们 令 它 按 4 字 节 对 齐 ， 最 
后 一 个 参数 的 用 处 在 此 。 图 2.23 在 每 条 语句 之 后 列 出 对 应 的 汇编 指令 , 注意 这 是 AT&T 格 
式 汇 编 ，“mov %esp, %ebp” 是 将 寄存 器 ESP 的 值 赋 给 寄存 器 EBP( 这 与 常用 的 Intel 汇 
编 格式 正好 相反 )。 


// stack.c 
#01 int add(int a, int b) 
#02 { 


fffffffc(%ebp) 


ffffffc(%ebp] ,Xe arc 


2.23 ”典型 的 函数 调用 
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当 程 序 执行 完 第 10 行 时 ,堆栈 如 图 2.24 所 示 。 图 中 每 格 表 示 一 个 Double Word(4 字 节 )。 


1 个 higher addr 
! 


retum addr | 


EBP 一 saved EBP 


ESP 一 所 | 0xDEEDBEEF 
1 1 


! lower addr 
图 2.24 堆栈 状况 1 


EBP 是 栈 帧 指针 (frame pointer)， 在 整个 函数 的 运行 过 程 中 ， 它 始终 指向 于 返回 地 址 和 
局 部 变量 之 间 的 一 个 double word， 此 处 保存 着 调用 端 函 数 (caller) 的 EBP 值 (第 9 行 对 应 
为 两 条 指令 正 是 起 这 个 作用 )。EBP 所 指 位 置 之 下 是 局 部 变量 ， 例 如 EBP-4 是 变量 ret 的 
地 址 ，-4 的 补 码 表示 正好 是 0xFFFFFFFC， 第 11 行 上 方 的 movl 指令 将 0xDEED BEEF 
存 入 变量 ret。 当 函数 返回 时 ， 须 将 EBP 恢复 原 值 。leave 指令 相当 于 : 

mov %ebp， %esp// 先 令 esp 指向 saved ebp 

pop ”%ebp // 弹出 栈 顶 内 容 至 ebp， 此 时 esp 正好 指向 返回 地 址 ，ebp 也 恢复 原 值 

ret 指令 的 作用 是 将 栈 顶 元 素 (ESP 所 指 之 处 ) 弹 出 至 指令 指针 EIP， 完 成 函数 返回 动 
作 。 执 行 第 11 条 语句 时 ， 先 将 add 的 两 个 参数 按 从 右 到 左 的 顺序 压 入 堆栈 ，call 指令 会 
先 把 返回 地 址 (也 就 是 call 指令 的 下 一 条 指令 的 地 址 ， 此 处 为 一 条 add 指令 ) 压 入 堆栈 ， 然 
后 修改 指令 指针 EIP， 使 程序 流程 (flow) 到 达 被 调用 函数 处 (第 2 行 )。 当 程序 运行 到 第 4 行 
时 ， 堆 栈 的 情况 如 图 2.25 所 示 。 图 中 灰色 部 分 是 main 的 栈 帧 (stack frame， 又 称 活动 记录 : 
activation record)， 其 下 是 add 的 栈 帧 ， 从 中 可 以 看 出 ， 保 存 函数 返回 地 址 Creturm addr) 的 位 
置 比 第 一 个 局 部 变量 高 8 字 节 。 由 此 我 们 想到 ， 函 数 可 以 修改 自己 的 返回 地 址 。 


个 higher addr 


EC 
[aa | 引 


saved EBP 


lower addr 


2.25 堆栈 情况 2 


下 面 我 们 做 一 个 试验 。 

图 2.26 列 出 了 一 个 函数 改变 自己 返回 地 址 的 程序 ，foo 函数 将 自己 的 返回 地 址 改 为 
malice 函数 。 编 译 运行 这 个 程序 ， 结 果 如 下 : 

$ gcc retaddr.c -o retaddr -ggdb -mpreferred-stack-boundary=2 


$ ./retaddr 
Hey, you've been attacked. 
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Segmentation fault (core dumped) 


/ retaddr.c 
#01 #include <stdio.h> 
#03 void nalice() 


{ 
#05 printf("Hey, you've been attacked.\n"); 
} 


#08 void foo() 
{ 


#0 int" ret; 

#1 ret = (int*)&ret + 2; // get the addr of return addr 
#2 (‘ret) = (int)malice; // set ny return addr to nalice() 
#13 } 


#15 int main() 
#17 foo(); 


#18 return 0; 
#19 } 


2.26 ”改变 函数 返回 地 址 


core dump 发 生 在 malice 返回 时 , 我 们 来 分 析 一 下 究竟 发 生 了 什么 。 首先, 在 进入 main 
函数 后 ， 在 执行 第 17 行 之 前 ,堆栈 情况 如 图 2.27(a) 所 示 ， 这 是 main 的 栈 帧 ，, 随后， 进入 
函数 foo， 在 执行 第 11 行 之 前 ,堆栈 布局 如 图 2.27(b) 所 示 ， 灰 色 部 分 是 调用 端 main 的 栈 
帧 ; 执行 第 11 行 之 后 ，ret 指向 函数 的 返回 地 址 (图 2.27(c); 第 12 行 修改 *ret, 将 返回 地 
址 设 为 malice 的 入 口 。foo 函数 结束 后 ， 本 应 返回 到 main， 执 行 第 18 行 的 语句 return 0; 
然而 由 于 返回 地 址 被 修改 ，foo 函数 返回 后 进入 函数 malice， 在 执行 第 5 行 之 前 ， 堆 栈 的 
情况 如 图 2.27(d)。 这 时 堆栈 已 被 破坏 , malice 函数 的 返回 地 址 处 存放 的 是 main 函数 保存 的 
EBP 值 (图 中 的 saved EBP* ), malice 函数 返回 后 , 会 跳 转 到 saved EBP* 所 指 的 地 址 , oops! 
接 下 来 发 生 的 事情 想必 大 家 都 知道 了 。 


,thigher addr | 


return addr return addr 
ESP 一 ~| saved EBP* Saved EBP* 


1 (int*)&rett2 -| retumaddr | 气 4 
! | lower addr ol 
saved EBP 呈 
&ret- ret 到 4 
(9) (b) | 
一 
| 
Teturn addr return addr | 己 
saved EBP* [saved EBP* | 纪 四 
| retum addr ~、 ESP—~| saved EBP | §) 
saved EBP a 
ret | 
(0) (d) 


图 2.27 堆栈 情况 3 
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如 何 让 这 个 程序 正常 退出 ? 最 简单 的 办 法 是 , 利用 main 函数 的 局 部 变量 伪造 一 个 貌似 
合法 的 堆栈 , 让 malice 返回 后 ,程序 得 以 安全 退出 。 办 法 是 在 malice 的 返回 地 址 处 放 上 exit 
的 入 口 地 址 ， 当 然 ， 我 们 还 要 顺便 伪造 传 给 exit 的 参数 。 改 进 后 的 main 函数 见 图 2.28， 
使 用 volatile 关键 字 是 为 了 防止 编辑 器 将 这 些 看 似 没 用 的 局 部 变量 优化 掉 。 


2.28 ”改进 后 的 “修改 函数 返回 地 址 ”示例 


进入 函数 malice 后 ， 堆 栈 情况 如 图 2.29(a) 所 示 。 与 图 2.29(d) 比 较 可 知 ，malice 会 把 
ret_addr 作为 自己 的 返回 地 址 ， 我 们 已 在 此 处 填 上 了 exit 的 入 口 地 址 。 当 malice 返回 后 ， 
程序 进入 exit 函数 , 这 时 堆栈 如 图 2.29(b) 所 示 ( 注 意 , exit 没有 保存 ESP)。exit 函数 会 把 100 
认为 是 传递 给 自己 的 参数 , 还 会 认为 返回 地 址 是 0, 但 是 exit 永 不 返回 , 所 以 不 会 造成 core 
dump， 程 序 正常 结束 ， a 100。 


1 人 nigher addr | 
return addr | return addr 
saved EBP* saved EBP* 
exit_val 100 100 argument to exit() 
dumy 0 | ESP—* 0 dumy return addr 
ret addr| &exit ! 
ESP—» | saved EBP 
| lower addr 
(a) (b) 


图 2.29 堆栈 情况 4 
有 了 以 上 对 函数 调用 栈 的 了 解 ， 接 下 来 ， 我 们 可 以 谈 谈 栈 上 的 缓冲 区 溢出 了 。 利 用 组 
冲 区 溢出 ， 我 们 能 实现 以 下 功能 : @ 自 由 修改 EP， 控 制程 序 流 程 ; @ 植 入 shellcode， 获 
得 Root Shell。 如 所 谓 shellcode, 是 指 能 调 出 shell 的 程序 , 功能 如 同 shellcodel.c( 图 2.30)。 


#01 #include <unistd.h> 
#03 int nain() 


{ 
#05 char* nane[2]; 


#07 setuid(0); // required if bash is used 
#08 name[0] = "/bin/sh"; 

#09 name[1] = NULL; 

#10 execve(nane[0], nane, NULL); 

#11 return 0; 


图 2.30 shellcode1.c 
如 果 以 Root 权限 执行 这 段 程序 ， 我 们 就 能 获得 一 个 Root Shell， 先 试 一 


$ gcc -0o shellcodel shellcodel.c 


[ 


$ whoami 
schen 

$ ./shel 
$ whoami 
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lcodelsh-2.05b 
schen 


怎么 没有 变 为 Root? 噢 , 忘 了 将 shellcodel 的 owner 设 为 Root, 还 要 设置 suid 位 : 


$ sudo chown Root shellcodel 

$ sudo chmod +s shellcodel 

$ whoami 

Schen 

$ ./shellcodel 

Sh-2.05b# whoami 

Root 

sh-2.05b# id 

uid=0 (Root) gid=500 (schen) groups=500 (schen) 

当然 ， 我 们 不 能 直接 使 用 图 2.30 中 的 程序 ， 需 要 把 它 转换 为 机 器 码 ， 再 注入 缓冲 区 。 
与 这 段 程序 功能 相同 的 机 器 码 见 图 2.31。 


char shellcode[] = 


// 为 ES 
"yxebxlf\x5eNx89\x ‘07\x89\x46\x0c\xbO\xOb" 


"\89\xf3\yx8d\x4e\x08 Wd CN 31 db x89 xd8\x40\xcd" 
“V80V31 vcO\xbO\x17\x31\xdb\xcd\xB0 eB xd4\xfF\xfF FF/bin/sh" 


图 2.31 转换 后 的 机 器 码 
先 用 图 2.32 的 程序 验证 一 下 这 段 机 器 码 的 功能 与 图 2.31 的 C 程序 是 否 相 同 。 


#01 char shellcode[] = 
#02 "xebvxlf" // 


int nain() 
7 


int* ret; 


ret = (int*)&ret + 2; 
("ret) = (int)shellcode; 
return 0; 


图 2.32 ”验证 程序 


$ gcc shellcode2.c -o shellcode2 -mpreferred-stack-boundary=2 
$ sudo chown Root shellcode2 

$ sudo chmod +s shellcode2 

$ 。/shellcode2 

sh-2.05b# whoami 


Root 


利用 缓冲 
数 指针 、 密 码 
然 也 可 成 为 攻 

堆 涪 出 : 


区 溢出 除了 能 修改 函数 返回 地 址 外 ， 还 可 以 修改 函数 的 敏感 参数 (如 传 入 的 函 
字符 串 等 )， 同 样 达 到 攻击 的 目的 。C++ 语 言 的 vtable 是 个 函数 指针 数组 ， 自 
击 的 目标 。 

维 (heap) 指 的 是 以 malloc 动态 分 配 的 内 存 ，C++ 把 以 new 动态 分 配 的 内 存 叫 


freestore， 其 实 和 堆 是 一 回 事 。 在 heap、 全 局 (globe) 变 量 、 静 态 (static) 变 量 中 溢出 的 情况 都 


算 作 堆 溢 出 。 
据 ， 达 到 提升 


堆 滋 出 攻击 的 主要 手段 是 改写 内 存 中 的 密码 、 函 数 指针 、 文 件 名 、UID 等 数 
特权 级 别 的 目的 。 堆 溢出 通常 要 求 对 malloc 所 用 的 数据 结构 有 深入 了 解 ， 它 
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比 栈 溢出 难度 大 。 


2.8.3 缓冲 区 溢出 的 预防 


栈 上 的 缓冲 区 溢出 可 以 修改 函数 的 返回 地 址 和 传 入 参数 ， 如 果 在 进入 函数 时 ， 将 这 些 
敏感 数据 复制 一 份 放 在 局 部 变量 之 下 ， 在 退出 函数 时 用 备份 的 数据 覆盖 原 数 据 ， 那 么 即便 
出 现 缓冲 区 溢出 ， 也 没有 多 大 伤害 。 另 外 ， 可 以 在 局 部 变量 之 前 放 一 个 cookie, 在 退出 函数 
时 检查 cookie 是 否 被 修改 ， 从 而 监测 有 无 缓冲 区 溢出 。 这 两 点 可 由 编译 器 帮 有 我 们 做 到 。 

栈 上 的 数据 既 可 以 修改 ， 又 可 以 当 作 指令 来 执行 ， 这 是 本 文 介 绍 的 这 种 栈 溢出 攻击 的 
条 件 。 现 在 某 些 操作 系统 如 Solaris、Open BSD 以 及 不 久之 后 的 Windows 有 不 能 既 可 执 
行 又 可 写 的 特性 ， 这 样 就 能 防御 这 类 栈 溢 出 攻击 。 不 过 “ 道 高 一 尺 ， 魔 高 一 丈 ”， 我 们 可 
以 利用 “return to libce” 技 术 来 达到 攻击 目的 。 从 前 面 的 例子 已 经 看 到 ， 函 数 的 返回 地 址 可 
设 为 某 一 库 函 数 。 如 果 我 们 伪造 一 些 参 数 (比如 字符 串 "/bin/sh")， 再 修改 函数 返回 地 址 ， 让 
它 执行 system 函数 ， 一 样 可 以 获得 Root Shell。 

缓冲 区 溢出 的 历史 几乎 和 C 语言 一 样 久 远 ，C 语言 本 身 不 检查 下 标 越 界 ， 而 常用 的 标 
准 库 函数 如 gets、strcpy、sprintf 等 也 无 处 指明 目标 缓冲 区 的 大 小 。 受 当时 历史 条 件 限 制 ， 
C 语言 这 么 设计 是 出 于 效率 考虑 , 而 且 C 语言 充分 相信 程序 员 的 能 力 。 然 而 这 多 少 也 纵容 
了 人 们 在 编码 时 忽视 检查 缓冲 区 溢出 ， 而 现在 编程 教材 似乎 也 不 强调 让 学 生养 成 检查 目标 
缓冲 区 大 小 以 避免 溢出 的 好 习惯 。 避 免 缓 冲 区 溢出 ， 最 重要 的 还 是 从 源头 做 起 ， 培 养 良好 
的 编程 习惯 ,包括 检查 数组 边界 ,用 fgets 蔡 代 gets、 用 strncpy 或 strlcpy 替代 strcpy, 用 snprint 
替代 sprint 等 。(C99 标准 刚 加 入 可 以 指明 目标 缓冲 区 大 小 的 snprint 函数 )。 只 要 小 心 在 意 ， 
在 编程 时 完全 可 以 预防 缓冲 区 溢出 。 


攻 回 


人 Y，2.9 回 到 工作 场景 


现在 回 到 本 章 刚 开始 提 到 的 工作 场景 ， 显 而 易 见 ， 黑 客 的 行为 构成 犯罪 的 。 想 免 受 案 
例 中 的 损失 ， 就 必须 有 效 地 防范 黑客 的 攻击 。 


1. 计算 机 的 设置 


1) ”关闭 文件 和 打印 机 共享 

用 鼠标 右 击 【网 络 邻居 】 图 标 ， 选 择 【 属 性 】 选 项 ， 然 后 单 击 【 文 件 和 打印 机 共享 】 
按钮 ， 将 弹出 【文件 和 打印 机 共享 】 对 话 框 ， 然 后 取消 选中 其 下 两 个 复 选 框 即 可 。 虽 然 文 
件 和 打印 共享 关闭 了 ， 但 是 还 不 能 确保 该 项 目的 安全 ， 需 要 修改 注册 表 ， 禁 止 他 人 更 改 文 
件 和 打印 共享 .打开 注册 表 编 辑 器 ,选择 HKEY_CURRENT_USER\Software\Microsoft\Windows 
\CurrentVersion\Policies\NetWork 主键 ， 在 该 主键 下 新 建 DWORD 类 型 的 键 值 ， 键 值 名 为 
“NoFileSharingControl”， 键 值 设 为 “1” 表 示 禁 止 这 项 功能 ， 从 而 达到 禁止 更 改 文件 和 打 
印 共享 的 目的 ， 键 值 为 “0” 表 示人 允许 这 项 功能 。 这 样 在 【网 络 邻居 】 的 【属性 】 对 话 框 中 
文件 和 打印 共享 功能 就 不 复 存 在 了 。 
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进入 【控制 面板 】 中 【网 络 和 Internet】 中 的 家 庭 组 ， 在 更 改 家 庭 组 设置 中 ， 选 择 更 改 
【高 级 共享 设置 】， 可 以 针对 家 庭 或 工作 、 共 用 不 同 的 网 络 配 置 文件 更 改 共享 选项 ， 在 其 
下 拉 菜 单 下 选择 【关闭 文件 和 打印 机 共享 】， 如 图 2.33 所 示 。 


(= © me 
GO +" me. ， ms- 7” [4 | ss 加 
文件 昌 ” 编 如 昌吉 看 工具 中 帮助 由 
定 的 过 页 E 
家 话 或 工作 @Mm 
网 络 发 现 
如 时 已 启用 网 络 发 现 ， 则 此 计算 机 可 以 发 现 其 他 网 阁 计 算 机 和 设备 , 而 其 他 网 络 计算 | | 
机 栗 可 发 现 此 计算 机 。 什 么 呈 网 洛 发 现 2 
@ 启用 网 络 发 现 
3 关 阅 网络 发 现 
文件 和 打印 机 共享 


启用 文件 和 打印 机 共享 时 ， 网 络 上 的 用 户 可 以 访问 通过 此 计算 机 共享 的 文件 和 打印 
机 。 


上 启用 文件 和 打印 机 共享 
回 关闭 文件 和 打印 机 共享 


公用 文件 夹 共 享 


[mw ] 
2.33 ”关闭 文件 和 打印 机 共享 


2) ”把 Guest 账号 禁用 

以 管理 员 方式 登录 Windows 7， 然 后 打开 【控制 面板 】， 选 择 【用 户 账户 和 家 庭 安全 】 
下 的 【添加 或 删除 用 户 账户 】， 如 图 2.34 所 示 ， 单 击 【Guest 来 宾 用 户 账户 】， 选 择 【关闭 
来 宾 账户 】， 如 图 2.35 所 示 。 这 样 Guest 就 被 禁用 了 ， 如 图 2.36 所 示 。 


[= © 
EZ Pp 
查看 方式 、 类 别 了 
EA Np 
四 二 
国有 用 六 是 


外观 和 个 性 化 
My 更 改 主题 
更 改 点 面 芭 县 


旋 、 轻松 访问 
和 使 用 Windows 建议 的 设置 
优化 视频 野 示 


图 2.34 设置 用 户 账户 
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GOO- + Bt ,Ser ,RR E23 P| 
文 从 (篇) 二 二 V) 工具 者 吧 (HD) 


ih 


您 想 更 改 来 宾 帐户 的 什么 ? 


图 2.35 关闭 来 宾 帐 户 


GO*RE* 忆 户 帐 疡 和 家 庭 安全 、 用 户 帐 户 、 管理 帐户 四 加 | 医 ED3 Pp| 
文人 妨 馈 E) 豆 看 WV) 工具 (T 帮助 (H) 


| 其 图 | 罕 


2.36 Guest 来宾 帐户 没有 启用 


3) “禁止 建立 空 链接 

在 默认 的 情况 下 ， 任 何 用 户 都 可 以 通过 空 链接 连 上 服务 器 ， 枚 举 账 号 并 猜测 密码 。 因 
此 , 我 们 必须 禁止 建立 空 链 接 。 方法 是 修改 注册 表 : 打开 注册 表 HKEY_ LOCAL_ MACHINE' 
System\CurrentControlSet\Control\LSA， 将 DWORD 值 “Restrict Anonymous” 的 键 值 改 为 
“1” 即 可 ， 如 图 2.37 所 示 。 

2. 隐藏 IP 地 址 

黑客 经 常 利 用 一 些 网 络 探测 技术 来 查看 用 户 的 主机 信息 ， 其 主要 目的 就 是 得 到 网 络 中 
主机 的 IP 地 址 。IP 地 址 在 网 络 安全 上 是 一 个 很 重要 的 概念 ， 如 果 攻 击 者 知道 了 用 户 的 人 P 
地 址 ， 等 于 为 他 的 攻击 准备 好 了 目标 ， 他 可 以 向 这 个 IP 发 动 各 种 进攻 ， 如 DoS( 拒 绝 服务 ) 
攻击 、 Floop 溢出 攻击 等 。 隐藏 卫 地 址 的 主要 方法 是 使 用 代理 服务 器 。 与 直接 连接 到 Internet 
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相 比 ， 使 用 代理 服务 器 能 保护 上 网 用 户 的 瑟 地 址 ， 从 而 保障 上 网 安全 。 代 理 服 务 器 的 原理 
是 在 客户 机 (用 户 上 网 的 计算 机 ) 和 远程 服务 器 (如 用 户 想 访问 远 端 WWW 服务 器 ) 之 间架 设 一 
个 “中 转 站 ”， 当 客户 机 向 远程 服务 器 提出 服务 要 求 后 ， 代 理 服 务 器 首先 截取 用 户 的 请 求 ， 
然后 代理 服务 器 将 服务 请 求 转 交 远 程 服务 器 ， 从 而 实现 客户 机 和 远程 服务 器 之 间 的 联系 。 

很 显然 , 使 用 代理 服务 器 后 ,， 其 他 用 户 只 能 探测 到 代理 服务 器 的 人 P 地 址 而 不 是 用 户 的 他 地 
址 ， 这 就 实现 了 隐藏 用 户 IP 地 址 的 目的 ， 保 障 了 用 户 上 网 安全 。 提 供 免费 代理 服务 器 的 网 


站 有 很 多 ， 也 可 以 自己 用 代理 猎手 等 工具 来 查找 。 


”注册 表 编辑 器 


文件 中 编辑 E) 查看 YY) 收 阅 严 个 ) 帮助 吕 


图 2.37 ”禁止 建立 空 链接 
3. 关闭 不 必要 的 端口 
黑客 在 入 侵 时 常常 会 扫描 用 户 的 计算 机 端口 ， 如 果 安 装 了 端口 监视 程序 (比如 
Netwatchb)， 该 监视 程序 则 会 有 警告 提示 。 如 果 遇 到 这 种 入 侵 ， 可 用 工具 软件 关闭 用 不 到 的 
端口 。 
4. 更 换 管理 员 账 户 


Administrator 账户 拥有 最 高 的 系统 权限 ， 一 旦 该 账户 被 人 利用 ， 后 果 不 堪 设 想 。 黑 客 入 
侵 的 常用 手段 之 一 就 是 试图 获得 Administrator 账户 的 密码 ， 所 以 用 户 要 重新 配置 
Administrator 账号 。 首 先 为 Administrator 账户 设置 一 个 强大 复杂 的 密码 ， 然 后 用 户 重 命名 
Administrator 账户 ， 再 创建 一 个 没有 管理 员 权限 的 Administrator 账户 欺骗 入 侵 者 。 这 样 一 
来 ， 入 侵 者 就 很 难 搞 清 哪个 账户 真正 拥有 管理 员 权限 ， 也 就 在 一 定 程度 上 减少 了 危险 性 。 


5. 杜绝 Guest 账户 的 入 侵 


Guest 账户 即 所 谓 来 宾 账户 ， 它 可 以 访问 计算 机 ， 但 受到 限制 。 不 幸 的 是 ，Guest 也 为 
黑客 入 侵 打 开 了 方便 之 门 ， 所 以 要 杜绝 基于 Guest 账户 的 系统 入 侵 。 

禁用 或 彻底 删除 Guest 账户 是 最 好 的 办 法 ， 但 在 某 些 必须 使 用 到 Guest 账户 的 情况 下 ， 
就 需要 通过 其 他 途径 来 做 好 防御 工作 了 。 首先 要 给 Guest 设 一 个 强大 的 密码 , 然后 详细 设置 
Guest 账户 对 物理 路 径 的 访问 权限 。 举 例 来 说 ， 如 果 你 要 防止 Guest 用 户 可 以 访问 tool 文件 
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夹 ， 可 以 右 击 该 文件 夹 ， 在 弹出 菜单 中 选择 【安全 】 选 项 ， 从 中 可 看 到 可 以 访问 此 文件 夹 
的 所 有 用 户 ， 删 除 管理 员 之 外 的 所 有 用 户 即 可 。 或 者 在 权限 中 为 相应 的 用 户 设 定 权 限 ， 比 
方 说 只 能 列 出 文件 夹 目录 和 读 取 等 ， 这 样 就 安全 多 了 。 


6. 安装 必要 的 安全 软件 
我 们 还 应 在 计算 机 中 安装 并 使 用 必要 的 防 黑 软件 ， 杀 毒 软件 和 防火 墙 都 是 必 备 的 。 在 
上 网 时 打开 它们 ， 这 样 即便 有 黑客 进攻 ， 我 们 的 安全 也 是 有 保证 的 。 


7. 防范 木马 程序 


木马 程序 会 窃取 植 入 计算 机 中 的 有 用 信息 ， 因 此 我 们 也 要 防止 被 黑客 植 入 木马 程序 ， 

用 的 办 法 有 以 下 两 种 。 

(1) 在 下 载 文件 时 ， 先 将 其 放 到 自己 新 建 的 文件 夹 中 ， 再 用 杀毒 软件 来 检测 ， 起 到 提 
前 预防 的 作用 。 

(2) 选择 【开始 】 一 【程序 】 一 【启动 】 或 【开始 】 一 【程序 】 一 Startup 命令 ,看 是 

否 有 不 明 的 运行 程序 ， 如 果 有 ， 删 除 即 可 。 将 注册 表 中 HKEY LOCAL MACHINE'\ 

SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下 的 所 有 以 “Run” 为 前 级 的 可 疑 程序 
全 部 删除 即 可 。 


8. 不 回复 陌生 人 的 邮件 


有 些 黑客 可 能 会 冒充 某 些 正规 网 站 的 名 义 ， 然 后 编 个 冠冕 堂皇 的 理由 寄 一 封 信 给 你 ， 
要 求 你 输入 上 网 的 用 户 名 称 与 密码 ， 如 果 单 击 【确定 】 用 户 ， 你 的 账号 和 密码 就 进 了 黑客 
的 邮箱 。 所 以 不 要 随便 回复 陌生 人 的 邮件 ， 即 使 他 说 得 再 动听 、 再 诱 人 也 不 上 当 。 


9. 做 好 IE 的 安全 设置 


ActiveX 控件 和 Applets 有 较 强 的 功能 , 但 也 存在 被 人 利用 的 隐患 ， 网 页 中 的 恶意 代码 
往往 就 是 利用 这 些 控件 编写 的 小 程序 ， 只 要 打开 网 页 就 会 被 运行 。 所 以 要 避免 恶意 网 页 的 
攻击 只 有 禁止 这 些 恶 意 代码 的 运行 。IE 对 此 提供 了 多 种 选择 ， 具 体 设置 步骤 是 ， 选择 【 工 
具 】 一 【Internet 选项 】 命 令 ， 在 弹出 的 对 话 框 中 选择 【安全 】 选 项 卡 ， 单 击 【 自 定义 级 别 】 
按钮 ， 建 议 您 在 弹出 的 【安全 设置 】 对 话 框 中 将 ActiveX 控件 与 相关 选项 禁用 。 另 外 ， 在 下 
的 安全 性 设 定 中 我 们 只 能 设 定 Internet、 本 地 Intranet、 受 信任 的 站 点 、 受 限制 的 站 点 。 不 过 ， 
微软 在 这 里 隐藏 了 “我 的 电脑 ”的 安全 性 设 定 ， 通 过 修改 注册 表 把 该 选项 打开 ， 可 以 使 我 
们 在 对 待 ActiveX 控件 和 Applets 时 有 更 多 的 选择 。 具体 的 方法 为 : 选择 【开始 】 一 【运行 】 
命令 ， 在 弹出 的 【运行 】 对 话 框 中 输入 Regedit.exe， 打 开 注 册 表 编辑 器 ， 单 击 前 面 的 “+” 
号 顺 次 展开 到 : HKEY_CURRE-NT_USER\Software\Microsoft\Windows\CurrentVersion\ 
InternetSettings \Zones\0, 在 右边 窗口 中 找到 DWORD 值 Flags, 默认 键 值 为 十 六 进 制 的 21( 十 
进 制 33)， 双 击 Flags， 在 弹出 的 对 话 框 中 将 其 键 值 改 为 “1” 即 可 ( 见 图 2.38)， 关 闭 注册 表 
编辑 器 。 无 须 重新 启动 计算 机 ， 重 新 打开 JE， 再 次 选择 【工具 】 一 【Internet 选项 】 命 令 ， 
在 弹出 的 对 话 框 中 切换 到 【安全 】 选 项 卡 ， 你 就 会 看 到 多 了 一 个 “我 的 电脑 ”图 标 ， 在 这 
里 你 可 以 设 得 它 的 安全 等 级 。 将 它 的 安全 等 级 设 定 得 高 些 ， 这 样 防范 更 严密 。 
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图 2.38 安全 性 设 定 
最 后 建议 给 自己 的 系统 打上 补丁 ， 微 软 那 些 补丁 还 是 很 有 用 的 。 


< 人 2.10 工作 实 训 营 


2.10.1 训练 实例 


1. 用 ping 命令 测试 目前 连接 www.163.com 网 站 的 情况 


ping 程序 向 www.163.com 的 服务 器 发 送 一 个 32Byte 的 消息 , 并 将 服务 器 的 响应 时 间 记 
录 下 来 ， 然 后 向 用 户 显示 4 次 测试 结果 ， 如 图 2.39 所 示 。 响 应 时 间 低 于 300ms 都 可 以 认为 


是 J 


常 的 ,超过 400ms 则 比较 慢 ， 当 出 现 request time out 信息 时 意味 着 网 站 没有 在 1s 内 响 


应 ,这 表明 服务 器 没有 对 ping 作出 响应 的 配置 , 或 是 网 站 反应 极 慢 , 如 果 看 到 4 个 request time 
out， 说 明 网 站 拒绝 ping 请 求 ， 如 图 2.40 所 示 。 因 为 过 度 的 ping 测试 会 令 服务 器 产生 瓶颈 ， 


因此 许多 Web 管理 员 不 允许 服务 器 接受 ping 测试。 


2.39 ping www.163.com 的 结果 


计算 机 网 络 安全 技术 


VDOwseyxtcnazxmd 


图 2.40 未 对 ping 命令 作出 及 时 反应 
2. 用 strcpy 函数 实现 缓冲 区 溢出 
编写 下 面 的 程序 : 


Void function(char*sz1) 
{ 


Char buff[20]; 
Strcpy (buffer, sz1); 
} 


程序 中 利用 strcpy 函数 将 szl 中 的 内 容 复 制 到 buff 中 ， 只 有 szl 的 长 度 大 于 20， 才 会 
造成 缓冲 区 溢出 。 存 在 像 strcpy 函数 这 样 问题 的 C 语言 函数 还 有 strcat、get、scanf 等 。 


2.10.2 工作 实践 常见 问题 解析 


(1) 加 密 的 文件 夹 允许 在 客户 端 收 取 吗 ? 

答 : 为 了 信息 安全 的 考虑 ， 加 密 的 文件 夹 是 不 允许 客户 端 收取 的 。 

(2) 如 何 给 邮箱 里 的 记事 本 加 密 ? 

答 : 网 易 邮 箱 里 面 的 记事 本 是 不 能 加 密 的 。QQ 邮箱 的 记事 本 加 密 设置 如 下 : 选择 【 邮 
箱 设置 】 一 【账户 】 一 【账户 安全 】 一 【加 锁 “ 文 件 夹 区 域 ”】 一 【修改 加 锁 设 置 】 命 令 ， 
选中 【记事 本 】 即 可 。 进 入 QQ 邮箱 ， 在 左上 角 你 的 账号 下 面 有 设置 ， 点 击 进入 在 邮箱 设 
置 中 选择 第 二 个 选项 【账户 】， 选 择 【 账 户 安全 】， 选 择 【 文 件 夹 区 域 加 锁 】， 就 可 以 加 
锁 “ 文 件 夹 区域 ” 了 。“ 文 件 夹 区域 ” 是 由 “我 的 文件 夹 ”、“ 其 他 邮箱 ”、“ 记 事 本 ” 
组 成 、 加 锁 即 对 这 几 部 分 设置 密码 。 


< | 未 章 习 是 


一 、 选 择 题 


1. 网 络 监听 是 ( 。 ). 
A. 远程 观察 一 个 用 户 的 计算 机 B. 监视 网 络 的 状态 、 传 输 的 数据 流 
C. 监视 PC 系统 运行 情况 D. 监视 一 个 网 站 的 发 展 方向 
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2. 关于 DoS( 拒 绝 服务 ) 下 面 表述 不 正确 的 是 ( )。 
A. 用 超过 被 攻击 目标 处 理 能 力 的 海量 数据 包 来 消耗 可 用 系统 、 宽 带 资源 等 方法 的 
攻击 
B. 全 称 是 Distributed Denial Service 
C. 拒绝 来 自 一 个 服务 器 所 发 送 回应 请 求 的 指令 
D. 入 侵 控制 一 个 服务 器 后 远程 关机 
3. 木马 分 为 ( “ ) 类 。 


A.5 B.6 G7 D.8 
4. 木马 的 启动 方式 有 ( ”) 种 。 
A.5 B.6 G7 D.8 


5. 下 列 (  ) 方 式 不 是 网 络 游戏 木马 采用 的 盗用 用 户 信息 的 方式 。 
A. 记录 用 户 键盘 输入 
B. Hook 游戏 进程 API 函数 等 方法 获取 
C. 直接 提问 、 回 答 的 方式 
D. 抽奖 活动 
二 、 思 考题 
1. ping 命令 的 扫描 原理 是 什么 ? 
2. 什么 是 木马 ? 
3. 木马 分 为 哪些 类 型 ? 
4. 什么 是 拒绝 服务 攻击 ?具体 分 为 哪 几 种 ? 


SS 


在 本 章 中 ， 我 们 详细 学 习 计算 机 病毒 ， 要 点 如 下 。 


本 章 要 点 


计算 机 病毒 的 概念 。 
计算 机 病毒 的 分 类 。 
计算 机 病毒 的 原理 与 实例 。 
计算 机 病毒 防治 。 
防 病毒 的 基础 知识 。 


会 检查 自己 的 计算 机 有 没有 中 毒 。 
下 载 奇 虎 360 安全 卫士 并 进行 设置 ， 达 到 
下 载 并 安装 卡巴 斯 基 反 病毒 软件 ， 练 习 
磁盘 进行 扫描 。 


计算 机 网 络 安全 技术 国 


“3 3.1 工作 场景 导入 


2012 年 5 月 ， 卡 巴 斯 基 实 验 室 率 先 宣布 发 现 了 一 种 高 度 复杂 的 恶意 程序 “Flame( 火 
焰 )”， 这 种 程序 正在 被 用 作 网 络 武器 ， 并 在 几 个 国家 发 起 攻击 。 新 发 现 的 这 种 恶意 程序 ， 
其 功能 和 复杂 度 大 大 超过 目前 已 知 的 所 有 网 络 威胁 。 技术 人 员 以 “网 络 攻击 武器 ”定性 “ 火 
焰 ”， 推 测 这 一 病毒 可 能 有 政府 背景 。 

卡巴 斯 基 实 验 室 的 专家 们 是 在 参与 由 国际 电 联 (ITU) 发 起 的 一 项 研究 调查 中 发 现 这 个 恶 
意 程序 的 ， 卡 巴 斯 基 实验 室 的 产品 将 其 检测 为 Worm.Win32.Flame， 该 程序 专门 用 来 执行 网 
络 间谍 活动 。 它 可 以 盗 取 有 价值 的 信息 ， 包 括 计 算 机 显示 内 容 、 针 对 性 系统 数据 、 储 存 的 
文件 和 联系 人 清单 ， 甚 至 还 有 音频 对 话 内 容 。 

在 经 历 了 一 系列 毁坏 性 的 未 知 恶 意 程序 事件 后 ， 特 别 是 横扫 西亚 的 Wiper 恶意 程序 ， 
西亚 地 区 多 台 计算 机 中 的 数据 被 删除 。 国 际 电 联 与 卡巴 斯 基 实 验 室 开展 了 一 项 独立 调查 ， 
初步 研究 发 现 ， 这 种 恶意 程序 其 实 早 在 2010 年 3 月 就 被 录入 “流行 病毒 清单 ”， 由 于 其 极 
为 复杂 的 结构 ， 再 加 上 能 发 起 针对 性 攻击 的 特点 ， 之 前 一 直 没 有 被 安全 软件 检测 到 。 

Flame 的 特点 有 别 于 之 前 臭名 昭著 的 网 络 武器 Duqu 和 Stuxnet, 这 两 个 程序 一 般 利用 特 
殊 的 软件 漏洞 发 起 地 区 性 的 攻击 , 而 事实 表明 , Flame 仅 攻 击 少量 的 计算 机 。 这 就 说 明 Flame 
属于 一 种 超级 网 络 武器 。 

卡巴 斯 基 实 验 室 创始 人 之 一 及 CEO 尤 金 。 卡 巴 斯 基 在 谈 到 Flame 时 说 : “网 络 战 争 的 
危险 是 近 几 年 来 信息 安全 领域 最 热点 和 最 严肃 的 话题 之 一 。Stuxnet 和 Duqu 引发 的 连锁 性 
攻击 ， 让 全 世界 都 增加 了 对 网 络 战争 的 忧虑 。 在 这 样 的 战争 中 ，Flame 恶意 程序 又 给 我 们 带 
来 了 另外 一 种 景象 ， 这 种 网 络 武 器 可 以 轻易 地 对 任何 一 个 国家 发 起 攻击 。 与 传统 的 战争 不 
同 ， 在 这 种 局 势 下 ， 最 发 达 的 国家 往往 是 最 薄弱 的 一 方 。” 

Flame 的 最 初 目标 看 上 去 是 从 事 间谍 活动 ， 盗 取 受 感染 设备 上 的 信息 数据 。 被 盗 取 的 信 
息 随 后 被 发 送 至 遍布 在 世界 各 地 的 控制 与 指令 中 心 。Flame 盗 取 的 信息 可 谓 包罗 万 象 ， 包 括 
各 种 文档 、 截 屏 、 录 音 ， 它 还 能 拦截 网 络 流量 ， 这 些 行为 都 足以 证 明 Flame 是 迄今 发 现 的 
最 高 级 和 最 全 面 的 网 络 攻击 工具 之 一 。 而 Flame 的 具体 感染 范围 目前 还 不 够 清楚 ， 但 能 肯 
定 的 一 点 是 ，Flame 能 够 采用 多 种 办 法 来 复制 一 个 本 地 网 络 ， 包 括 早 前 由 Stuxnet 发 现 的 打 
印 机 漏洞 和 USB 感染 方法 。 

引导 问题 : 面 对 近 年 来 念 来 念 猛 狐 的 网 络 病毒 ， 我 们 应 如 何 防御 ?不幸 感染 计算 机 病 
毒 后 ， 如 何 清除 ? 


计算 机 病毒 (Computer Virus) 在 《中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 》 中 被 
明确 定义 ， 病 毒 指 “编制 者 在 计算 机 程序 中 插入 的 破坏 计算 机 功能 或 者 破坏 数据 ， 影 响 计 
算 机 使 用 并 且 能 够 自我 复制 的 一 组 计算 机 指令 或 者 程序 代码 ”。 与 医学 上 的 “病毒 ”不 同 ， 
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| 算 机 病毒 不 是 天 然 存在 的 ， 
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图 第 3 章 计算 机 病毒 


计算 机 软件 和 硬件 
计算 机 的 存储 介质 (或 程序 ) 里 ， 
序 的 方法 将 自己 的 精确 复制 或 者 可 


四 


图 3.1 计算 机 病毒 


病毒 不 是 来 源 于 突 发 或 偶然 的 原因 ， 但 病毒 的 出 现 却 是 
究 人 员 为 了 计算 出 当时 互联 网 的 在 线 人 数 ， 编 写 了 一 段 程序 发 布 到 服务 器 ， 然 而 它 却 自己 


次 偶然 事件 。 


因为 一 


是 一 种 比较 完美 的 、 精 巧 严谨 的 代码 ， 按 照 严格 的 秩序 组 织 起 来 ， 与 所 在 的 系统 
相 适 应 和 配合 起 来 ， 病 毒 不 会 通过 偶然 形成 ， 并 且 需 要 有 一 定 的 长 度 ， 这 个 基本 长 度 从 概 


率 上 讲 是 不 可 能 通过 随机 代码 产生 的 。 现 在 流行 的 病毒 是 人 为 编写 的 ， 多 数 病毒 可 
作者 和 产地 信息 ， 从 大 量 的 统计 分 析 来 看 ， 病 毒 作者 主要 情况 和 目的 是 : 
自己 的 能 力 ， 出 于 
口令 ， 为 了 软件 拿 不 到 报酬 预 留 的 陷阱 等 。 当 然 也 有 


员 为 了 表现 自己 和 证 明 
和 求爱 ， 为 了 得 到 控制 


宗教 、 民 族 、 专 利 等 方 


试 病毒 。 
在 病毒 的 发 


展 史上 ， 病 毒 的 出 现 是 有 规律 的 ， 


面 的 需求 而 专门 编写 的 ， 其 中 也 包括 一 些 病毒 研究 机 构 和 黑客 


一 般 情况 下 一 种 新 的 病毒 技术 


有 的 脆弱 性 编制 的 一 组 
当 达 到 某 种 条 件 
能 演化 的 形式 放 入 大 
序 中 ， 从 而 感染 其 他 程序 ， 对 计算 机 资源 进行 破坏 ， 所 谓 病毒 是 人 为 造成 的 ， 对 其 人 
的 危害 性 很 大 。 图 3.1 为 漫画 版 的 计算 机 病毒 。 
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当时 的 研 


起 来 ， 导 致 了 整个 服务 器 的 裔 溃 和 堵塞 。 有 时 一 次 突 发 的 停电 和 偶然 的 错误 ， 会 
存 中 产生 一 些 乱码 和 随机 指令 ， 但 这 些 代 码 是 无 序 和 混乱 的 。 


病毒 则 


网 络 环境 


以 找到 


一 些 天 才 的 程序 
对 上 司 的 不 满 ， 因 为 好 奇 ， 为 了 报复 ， 为 了 祝贺 
因 政治 、 军 


事 、 
的 测 


出 现 后 ， 


病毒 迅速 发 展 ， 接 着 反 病毒 技术 的 发 展会 抑制 其 流传 。 操 作 系统 升级 后 ， 病 毒 也 会 调整 为 


新 


座 毒 主要 经 
一 阶段 为 


的 应 
除 工 人 


历 了 六 个 对 


软件 少 ， 而 且 大 多 是 单机 运行 ， 
E 相 对 来 说 较 容易 。 主 要 特点 是 : 
式 监视 系统 的 运行 状态 ， 并 在 一 定 的 条 件 下 对 目标 进 


的 方式 ， 产 生 新 的 病毒 技术 。 
IT 行业 普遍 认为 ， 从 最 原始 的 单机 磁盘 病毒 到 现在 逐步 进入 人 们 视野 的 手机 病毒 ， 计 
要 的 发 展 阶段 。 
原始 病毒 阶段 。 产 生年 限 一 般 认为 在 1986 一 1989 年 之 间 ， 由 于 当 


因此 病毒 没有 大 量 流行 ， 种 类 也 很 有 限 ， 
攻击 目标 较 单一 ， 主要 通过 截获 系统 中 断 
行 传染 ， 病 毒 程序 不 具有 自 


措施 ， 容 易 被 人 们 分 析 和 解剖 。 


第 二 阶段 为 混合 型 病毒 阶段 。 其 产生 的 年 限 在 1989 一 1991 年 之 间 ， 是 计算 机 


时 计算 机 
病毒 的 清 
向 量 的 方 
我 保护 的 
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病毒 


单 发 展 到 复杂 的 阶段 。 计 算 机 


局 域 网 开始 应 用 与 普及 ， 给 计算 机 病毒 带 来 了 第 一 次 流行 高 
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峰 。 这 一 阶段 病毒 的 主要 特点 为 : 攻击 目标 趋 于 混合 ， 采取 更 为 隐蔽 的 方法 驻 留 内 存 和 传 
染 目 标 ; 病毒 传染 目标 后 没有 明显 的 特征 ;病毒 程序 往往 采取 了 自我 保护 措施 ， 出 现 许多 
病毒 的 变种 等 。 
第 三 阶段 为 多 态 性 病毒 阶段 。 此 类 病毒 的 主要 特点 是 ， 在 每 次 传染 目标 时 ， 放 入 宿 3 
程序 中 的 病毒 程序 大 部 分 都 是 可 变 的 ， 因 此 防 病毒 软件 查 杀 非常 困难 。 如 1994 年 在 国内 
现 的 “幽灵 ”病毒 就 属于 这 种 类 型 。 这 一 阶段 的 病毒 技术 开始 向 多 维 化 方向 发 展 。 
第 四 阶段 为 网 络 病毒 阶段 。 从 20 世纪 90 年 代 中 后 期 开始 ， 随 着 国际 互联 网 的 发 展 壮 
大 ， 依 赖 互联 网 络 传播 的 邮件 病毒 和 宏 病毒 等 大 量 涌现 ， 病 毒 传播 快 、 隐 蔽 性 强 、 破 坏 性 
大 。 也 就 是 从 这 一 阶段 开始 ， 反 病毒 产业 开始 萌芽 ， 并 逐步 形成 一 个 规模 宏大 的 新 兴 产业 。 
第 五 阶段 为 主动 攻击 型 病毒 。 典 型 代表 为 2003 年 出 现 的 “冲击 波 ” 病 毒 和 2004 年 流 
行 的 “震荡 波 ” 病 毒 。 这 些 病毒 利用 操作 系统 的 漏洞 进行 进攻 型 的 扩散 ， 并 不 需要 任何 媒 
介 或 操作 ， 用 户 只 要 接 入 互联 网 络 就 有 可 能 被 感染 。 正 因为 如 此 ， 该 病毒 的 危害 性 更 大 。 
第 六 阶段 为 “手机 病毒 ”阶段 。 随 着 移动 通信 网 络 的 发 展 以 及 移动 终端 一 一 手机 功能 
的 不 断 强大 ， 计 算 机 病毒 开始 从 传统 的 互联 网 络 走 进 移动 通信 网 络 世 界 。 与 互联 网 用 户 相 
比 ， 手 机 用 户 覆 盖 面 更 广 、 数 量 更 多 ， 因 而 高 性 能 的 手机 病毒 一 旦 爆发 ， 其 危害 和 影响 比 
“冲击 波 ”、“ 震 荡 波 ”等 互联 网 病毒 还 要 大 。 
计算 机 病毒 的 破坏 行为 体现 了 病毒 的 杀伤 能 力 。 病 毒 破坏 行为 的 激烈 程度 取决 于 病毒 
作者 的 主观 愿望 和 他 所 具有 的 技术 能 量 。 数 以 万 计 、 不 断 发 展 扩张 的 病毒 ， 其 破坏 行为 千 
奇 百 怪 ， 我 们 不 可 能 穷 举 其 破坏 行为 ， 而 且 难 以 做 全 面 的 描述 ， 根 据 现 有 的 病毒 资料 可 以 
把 病毒 的 破坏 目标 和 攻击 部 位 归纳 如 下 。Q@ 攻 击 系统 数据 区 。 攻 击 部 位 包括 : 硬盘 主 引导 
扇 区 、Boot 扇 区 、Fat 表 、 文 件 目录 等 。 迫 使 计算 机 空转 ， 计 算 机 速度 明显 下 降 。@ 攻 击 磁 
盘 ， 攻 击 磁盘 数据 、 不 写 盘 、 写 操作 变 读 操 作 、 写 盘 时 丢 字 节 等 。@ 扰 乱 屏幕 显示 。 病 毒 
扰乱 屏幕 显示 的 方式 很 多 ， 可 列举 如 下 : 字符 跌落 、 环 绕 、 倒 置 、 显 示 前 一 屏 、 光 标 下跌 、 
滚屏 、 拌 动 、 乱 写 、“ 吃 ”字符 等 。@ 键 盘 病毒 。 干 扰 键盘 操作 。 已 发 现 有 下 述 方式 : 响 
铃 、 封 锁 键盘 、 换 字 、 抹 掉 缓存 区 字符 、 重 复 、 输 入 亲 乱 等 。@@ 喇 叭 病毒 。 许 多 病毒 运行 
时 ， 会 使 计算 机 的 喇叭 发 出 响声 。 有 的 病毒 作者 通过 喇叭 发 出 种 种 声音 ， 有 的 病毒 作者 让 
病毒 演奏 旋律 优美 的 世界 名 曲 ， 在 高 雅 的 曲调 中 去 掠夺 人 们 的 信息 财富 ， 已 发 现 的 喇叭 发 
声 有 以 下 方式 : 演奏 曲子 、 警 笛 声 、 炸 弹 噪 声 、 鸣 叫 、 味 嘎 声 、 跑 噶 声 等 。@@ 攻 击 CMOS。 
在 机 器 的 CMOS 区 中 ， 保 存 着 系统 的 重要 数据 ， 例 如 系统 时 钟 、 磁 盘 类 型 、 内 存 容量 等 ， 
具有 校 验 和 。 有 的 病毒 激活 时 ， 能 够 对 CMOS 区 进行 写 入 动作 ， 破 坏 系统 CMOS 中 的 数 
据 。@ 干 扰 打 印 机 。 典 型 现象 为 : 假 报警 、 间 断 性 打印 、 更 换 字符 等 。 
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舍 ，3.3 计算 机 病毒 的 特征 


二 算 机 病毒 虽然 种 类 繁多 、 干 奇 百 怪 ， 但 一 般 都 有 以 下 主要 特性 。 
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计算 机 病毒 寄生 在 其 他 程序 之 中 ， 当 执行 这 个 程序 时 ， 病 毒 就 起 破坏 作用 ， 而 在 未 启 
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动 这 个 程序 之 前 ， 它 是 不 易 被 人 发 觉 的 。 
2. 传染 性 


计算 机 病毒 不 但 本 身 具有 破坏 性 ， 更 有 害 的 是 其 具有 传染 性 ， 一 旦 病毒 被 复制 或 产 4 
变种 ， 其 速度 之 快 令 人 难以 预防 。 传 染 性 是 病毒 的 基本 特征 。 在 生物 界 ， 病 毒 通过 传染 从 
一 个 生物 体 扩散 到 另 一 个 生物 体 。 在 适当 的 条 件 下 ， 它 可 大 量 繁殖 ， 并 使 被 感染 的 生物 体 
表现 出 病症 甚至 死亡 。 同 样 ， 计 算 机 病毒 也 会 通过 各 种 渠道 从 已 被 感染 的 计算 机 扩散 到 未 
被 感染 的 计算 机 ， 在 某 些 情况 下 造成 被 感染 的 计算 机 工作 失常 甚至 瘫痪 。 与 生物 病毒 不 同 
的 是 ， 计 算 机 病毒 是 一 段 人 为 编制 的 计算 机 程序 代码 ， 这 段 程序 代码 一 旦 进入 计算 机 并 得 
以 执行 ， 它 就 会 搜寻 其 他 符合 其 传染 条 件 的 程序 或 存储 介质 ， 确 定 目标 后 再 将 自身 代码 插 
入 其 中 ， 达 到 自我 繁殖 的 目的 。 只 要 一 台 计 算 机 染 毒 ， 如 不 及 时 处 理 ， 那 么 病毒 会 在 这 台 
计算 机 上 迅速 扩散 ， 计 算 机 病毒 可 通过 各 种 可 能 的 渠道 ， 如 软盘 、 计 算 机 网 络 去 传染 其 他 
的 计算 机 。 当 你 在 一 台 机 器 上 发 现 了 病毒 时 ， 曾 在 这 人 台 计 算 机 上 用 过 的 软盘 往往 已 感染 上 
了 病毒 ， 而 与 这 人 台 机 器 相 联网 的 其 他 计算 机 也 许 也 被 该 病毒 染 上 了 。 是 否 具 有 传染 性 是 判 
别 一 个 程序 是 否 为 计算 机 病毒 的 最 重要 的 条 件 。 

3. 潜伏 性 

有 些 病毒 像 定时 炸弹 一 样 ， 让 它 什么 时 间 发 作 是 预先 设计 好 的 。 比 如 黑色 星期 五 病毒 ， 
不 到 预定 时 间 一 点 都 觉察 不 出 来 ， 等 到 条 件 具 备 的 时 候 一 下 子 就 “爆炸 ” 开 来 ， 对 系统 进 
行 破坏 。 一 个 编制 精巧 的 计算 机 病毒 程序 ， 进 入 系统 之 后 一 般 不 会 马上 发 作 ， 因 此 病毒 可 
以 静 静 地 躲 在 磁盘 或 磁带 里 待 上 几 天 ， 甚 至 几 年 ， 一 旦 时 机 上 成熟， 得 到 运行 机 会 ， 就 会 四 
处 繁殖 、 扩 散 ， 继 续 为 害 。 潜 伏 性 的 第 二 种 表现 是 指 计算 机 病毒 的 内 部 往往 有 一 种 触发 机 
制 ， 不 满足 触发 条 件 时 ， 计 算 机 病毒 除了 传染 外 不 做 什么 破坏 。 触 发 条 件 一 旦 得 到 满足 ， 
有 的 在 屏幕 上 显示 信息 、 图 形 或 特殊 标识 ， 有 的 则 执行 破坏 系统 的 操作 ， 如 格式 化 磁盘 、 
删除 磁盘 文件 、 对 数据 文件 做 加 密 、 封 锁 键盘 以 及 使 系统 死 锁 等 。 

4. 隐蔽 性 
计算 机 病毒 具有 很 强 的 隐蔽 性 ， 有 的 可 以 通过 病毒 软件 检查 出 来 ， 有 的 根本 就 查 不 出 
来 ， 有 的 时 隐 时 现 、 变 化 无 常 ， 这 类 病毒 处 理 起 来 通常 很 困难 。 
5. 破坏 性 
计算 机 中 毒 后 ， 可 能 会 导致 正常 的 程序 无 法 运行 ， 把 计算 机 内 的 文件 删除 或 受到 不 同 
程度 的 损坏 。 通 常 表现 为 : 增 、 删 、 改 、 移 。 

6. 可 触发 性 

病毒 因 某 个 事件 或 数值 的 出 现 ， 诱 使 病毒 实施 感染 或 进行 攻击 的 特性 称 为 可 触发 性 。 
为 了 隐蔽 自己 ， 病 毒 必须 潜伏 ， 少 做 动作 。 如 果 完 全 不 动 ， 一 直 潜伏 的 话 ， 病 毒 既 不 能 感 
染 也 不 能 进行 破坏 ， 便 失去 了 杀伤 力 。 病 毒 既 要 隐蔽 又 要 维持 杀伤 力 ， 就 必须 具有 可 触发 
性 。 病 毒 的 触发 机 制 就 是 用 来 控制 感 当 和 破坏 动作 的 频率 的 。 病 毒 具有 预定 的 触发 条 件 ， 
这 些 条 件 可 能 是 时 间 、 日 期 、 文 件 类 型 或 某 些 特定 数据 等 。 病 毒 运行 时 ， 触 发 机 制 检查 预 
定 条 件 是 否 满足 ， 如 果 满 足 ， 启 动感 染 或 破坏 动作 ， 使 病毒 进行 感染 或 攻击 ， 如 果 不 满足 ， 


出 


过 
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则 病毒 继续 潜伏 。 


全，3.4 计算 机 病毒 的 分 类 


根据 笔者 多 年 对 计算 机 病毒 的 研究 ， 按 照 科学 的 、 系 统 的 、 严 密 的 方法 ， 计 算 机 病毒 
可 以 根据 下 面 的 属性 进行 分 类 。 
1. 按 病 毒 存在 的 媒体 


根据 病毒 存在 的 媒体 ， 病 毒 可 以 划分 为 网 络 病毒 、 文 件 病毒 、 引 导 型 病毒 。 网 络 病 毒 
通过 计算 机 网 络 传播 感染 网 络 中 的 可 执行 文件 ， 文 件 病毒 感染 计算 机 中 的 文件 
(如 .COM、.exe、.DOC 等 )， 引 导 型 病毒 感染 启动 扇 区 (Boob 和 硬盘 的 系统 引导 扇 区 (MBR)， 
还 有 这 三 种 情况 的 混合 型 ， 例 如 : 多 型 病毒 (文件 和 引导 型 ) 感 染 文件 和 引导 扇 区 ， 这 样 的 病 
毒 通 常 都 具有 复杂 的 算法 ， 它 们 使 用 非常 规 的 办 法 侵入 系统 ， 同 时 使 用 了 加 密 和 变形 算法 。 

2. 按 病毒 传染 的 方法 

根据 病毒 传染 的 方法 可 分 为 驻 留 型 病毒 和 非 驻 留 型 病毒 ， 驻 留 型 病毒 感染 计算 机 后 ， 
把 自身 的 内 存 驻 留 部 分 放 在 内 存 (RAM) 中 ， 这 一 部 分 程序 挂 接 系统 调用 ， 并 合并 到 操作 系 
统 中 去 ， 它 处 于 激活 状态 ， 一 直到 关机 或 重新 启动 。 非 驻 留 型 病毒 在 得 到 机 会 激活 时 并 不 
感染 计算 机 内 存 ， 而 是 在 内 存 中 留 有 小 部 分 ， 但 是 并 不 通过 这 一 部 分 进行 传染 ， 这 类 病毒 
也 被 划分 为 非 驻 留 型 病毒 。 


3. 按 病毒 破坏 的 能 力 


无 害 型 : 除了 传染 时 减少 磁盘 的 可 用 空间 外 ， 对 系统 没有 其 他 影响 。 

无 危险 型 : 这 类 病毒 仅仅 是 减少 内 存 、 显 示 图 像 、 发 出 声音 及 同类 音响 。 

危险 型 这 类 病毒 在 计算 机 系统 操作 中 造成 严重 的 错误 。 

非常 危险 型 : 这 类 病毒 删除 程序 、 破 坏 数据 、 清 除 系统 内 存 区 和 操作 系统 中 重要 的 信 
息 。 这 些 病 毒 对 系统 造成 的 危害 ， 并 不 是 本 身 的 算法 中 存在 危险 的 调用 ， 而 是 当 它 们 传染 
上 时 会 引起 无 法 预料 的 和 灾难 性 的 破坏 。 由 病毒 引起 其 他 程序 产生 的 错误 也 会 破坏 文件 和 遍 
区 ， 这 些 病 毒 也 按照 它们 引起 破坏 的 能 力 进行 划分 。 一 些 现在 的 无 害 型 病毒 也 可 能 会 对 新 
版 的 DOS、Windows 和 其 他 操作 系统 造成 破坏 。 例 如 : 在 早期 的 病毒 中 ， 有 一 个 “Denzuk” 
病毒 在 360KB 磁盘 上 很 好 地 工作 ， 不 会 造成 任何 破坏 ， 但 是 在 后 来 的 高 密度 软盘 上 却 能 引 
起 大 量 的 数据 丢失 。 

4. 按 病 毒 的 算法 

伴随 型 病毒 ， 这 一 类 病毒 并 不 改变 文件 本 身 ， 它 们 根据 算法 产生 exe 文件 的 伴随 体 ， 具 
有 同样 的 名 字 和 不 同 的 扩展 名 (.COM)， 例 如 : XCOPY .exe 的 伴随 体 是 XCOPY.COM。 病毒 
把 自身 写 入 .COM 文件 并 不 改变 .exe 文件 ， 当 DOS 加 载 文 件 时 ， 伴 随 体 优 先 被 执行 ， 再 
伴随 体 加 载 执行 原来 的 exe 文件 。 

“蠕虫 ”型 病毒 ， 通 过 计算 机 网 络 传播 ， 不 改变 文件 和 资料 信息 ， 利 用 网 络 从 一 台 机 
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器 的 内 存 传播 到 其 他 机 器 的 内 存 、 计 算 网 络 地 址 ， 将 自身 的 病毒 通过 网 络 发 送 。 有 时 它们 


在 系统 存在 ， 一 般 除 了 内 存 外 不 占用 其 他 资源 。 


寄生 型 病毒 ， 除 了 伴随 和 “蠕虫 ”型 外 ， 其 他 病毒 均 可 称 为 寄生 型 病毒 ， 它 们 依附 在 
系统 的 引导 扇 区 或 文件 中 ， 通 过 系统 的 功能 进行 传播 ， 按 其 算法 不 同 可 分 为 练习 型 病毒 和 
诡秘 型 病毒 练习 型 病毒 ， 病 毒 自身 包含 错误 ， 不 能 进行 很 好 的 传播 。 诡 秘 型 病毒 : 它们 一 
般 不 直接 修改 DOS 中 断 和 扇 区 数据 ， 而 是 通过 设备 技术 和 文件 缓冲 区 等 DOS 内 部 修改 ， 


不 易 看 到 资源 ， 使 用 比较 高 级 的 技能 ， 利 用 DOS 空闲 的 数据 区 进行 工作 。 


变型 病毒 又 称 幽灵 病毒 ， 这 一 类 病毒 使 用 一 个 复杂 的 算法 ， 使 自己 每 传播 一 份 都 具有 
不 同 的 内 容 和 长 度 。 它 们 一 般 的 做 法 是 将 一 段 混 有 无 关 指 令 的 解码 算法 与 被 变化 过 的 病毒 


体 组 合 在 一 起 。 


全 3.5 计算 机 病毒 的 原理 与 实例 


3.5.1 计算 机 病毒 的 结构 


计算 机 病毒 一 般 由 引导 模块 、 感 染 模块 、 破 坏 模块 和 触发 模块 四 大 部 分 组 成 。 根 据 是 


否 被 加 载 到 内 存 ， 计 算 机 病毒 又 分 为 静态 病毒 和 动态 病毒 。 


处 于 静态 的 病毒 存 于 存储 器 介 


质 中 ， 一 般 不 执行 感染 和 破坏 ， 其 传播 只 能 借助 第 三 方 活动 (如 复制 、 下 载 、 邮 件 传输 等 ) 
实现 。 当 病毒 经 过 引导 进入 内 存 后 ， 便 处 于 活动 状态 ， 满 足 一 定 的 触发 条 件 后 就 开始 进行 


传染 和 破坏 ， 从 而 构成 对 计算 机 系统 和 资源 的 威胁 和 破坏 。 
1. 引导 模块 


计算 机 病毒 为 了 进行 自身 的 主动 传播 必须 寄生 在 可 以 获取 执行 权 的 寄生 对 象 上 。 就 目 


前 出 现 的 各 种 计算 机 病毒 来 看 ， 其 寄生 对 象 有 两 种 : 寄生 在 磁盘 引导 扇 区 和 寄生 在 特定 文 
件 中 (如 .exe、.com、.doc、.html 等 )。 寄 生 在 它们 中 的 病毒 程序 可 以 在 一 定 条 件 下 获得 执行 
权 ， 从 而 得 以 进入 计算 机 系统 ， 并 处 于 激活 状态 ， 然 后 进行 动态 传播 和 破坏 活动 。 


计算 机 病毒 的 寄生 方式 有 两 种 : 采用 蔡 代 方式 和 采用 链接 方式 。 所 谓 蔡 代 就 是 指 病毒 


程序 用 自己 的 部 分 或 全 部 指令 代码 ， 蔡 代 磁 盘 引 导 肩 区 或 文件 中 的 全 部 或 部 分 内 容 。 链 接 
则 是 指 病毒 程序 将 自身 代码 作为 正常 程序 的 一 部 分 与 原 有 正常 程序 链接 在 一 起 。 寄 生 在 磁 
盘 引 导 扇 区 的 病毒 一 般 采 用 替代 方式 ， 而 寄生 在 可 执行 文件 中 的 病毒 一 般 采 用 链接 方式 。 


对 于 寄生 在 磁盘 引导 扇 区 的 病毒 来 说 ， 病 毒 引导 程序 占有 了 原 系 统 引 导 程序 的 位 置 ， 
把 原 系统 引导 程序 搬移 到 一 个 特定 的 地 方 。 这 样 系统 一 启动 ， 病 毒 引导 模块 就 会 自动 地 


装 入 内 存 并 获得 执行 权 ， 然 后 该 引导 程序 负责 将 病毒 程序 的 传染 模块 和 发 作 模 块 装 入 内 存 
的 适当 位 置 ， 并 采取 常 驻 内 存 技术 以 保证 这 两 个 模块 不 会 被 覆盖 ， 接 着 对 这 两 个 模块 设 定 


某 种 激活 方式 ， 使 之 在 适当 的 时 候 获 得 执行 权 。 完 成 这 些 了 
导 模 块 装 入 内 存 ， 使 系统 在 带 毒 状 态 下 依然 可 以 继续 进行 。 


[ 作 后 ， 病 毒 引导 模块 将 系统 引 


对 于 寄生 在 文件 中 的 病毒 来 说 ， 病 毒 程序 一 般 可 以 通过 修改 原 有 文件 ， 使 对 该 文件 的 
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操作 转 入 病毒 程序 引导 模块 ， 引 导 模 块 也 能 完成 把 病毒 程序 的 其 他 两 个 模块 驻 留 内 存 及 初 
始 化 的 工作 ， 然 后 把 执行 权 交 给 原文 件 ， 使 系统 及 文件 在 带 毒 状 态 下 继续 运行 。 


2. 感染 模块 


感染 是 指 计算 机 病毒 由 一 个 载体 传播 到 另 一 个 载体 。 这 种 载体 一 般 为 邮件 、 链 接 、 程 
序 等 ， 它 是 计算 机 病毒 赖 以 生存 和 进行 传染 的 媒介 。 但 是 ， 只 有 载体 还 不 足以 使 病毒 得 到 
传播 。 促 成 病毒 的 传染 还 需 有 一 个 先决 条 件 ， 一 般 可 分 为 两 种 情况 : 一 种 情况 是 用 户 在 复 
制 文件 时 ， 把 一 个 病毒 由 一 个 载体 复制 到 另 一 个 载体 上 ， 或 者 是 通过 网 络 上 的 信息 传递 ， 
把 一 个 病毒 程序 从 一 方 传递 到 另 一 方 ， 另 一 种 情况 是 在 病毒 处 于 激活 状态 下 ， 只 要 传染 条 
件 满足 ， 病 毒 程序 就 能 主动 地 把 病毒 自身 传染 给 另 一 个 载体 。 
计算 机 病毒 的 传染 方式 基本 可 以 分 为 两 大 类 : 一 是 立即 传染 ， 即 病毒 在 被 执行 的 瞬间 ， 
抢 在 宿主 程序 开始 执行 前 ， 立 即 感 染 磁盘 上 的 其 他 程序 ， 然 后 再 执行 宿主 程序 ， 二 是 驻 留 
内 存 并 伺机 传染 ， 内 存 中 的 病毒 检查 当前 系统 环境 ， 在 执行 一 个 程序 、 浏 览 一 个 网 页 时 传 
染 磁 盘 上 的 程序 。 驻 留 在 系统 内 存 中 的 病毒 程序 在 宿主 程序 运行 结束 后 ， 仍 可 活动 ， 直 至 
关闭 计算 机 。 


3. 触发 模块 


计算 机 病毒 在 传染 和 发 作 之 前 ， 往 往 要 判断 某 些 特定 条 件 是 否 满足 ， 满 足 则 传染 和 发 
作 ， 和 否则 不 传染 或 不 发 作 ， 这 个 条 件 就 是 计算 机 病毒 的 触发 条 件 。 计 算 机 病毒 频繁 的 破坏 
行为 可 能 会 给 用 户 以 重创 。 目 前 病毒 采用 的 触发 条 件 主要 有 以 下 几 种 。 

(1) 日 期 触发 。 许 多 病毒 采用 日 期 作为 触发 条 件 ， 日 期 触发 大 体 包括 特定 日 期 触发 、 
月 份 触发 、 前 半年 触发 、 后 半年 触发 等 。 

(2) 时 间 触 发 。 时 间 触 发 包括 特定 的 时 间 触 发 、 染 毒 后 累计 工作 时 间 触 发 、 文 件 最 后 
写 入 时 间 触 发 等 。 

(3) 键盘 触发 。 有 些 病 毒 监视 用 户 的 击 键 动 作 ， 当 发 现 病毒 预定 的 击 键 时 ， 病 毒 被 激 
活 ， 进 行 某 些 特定 操作 。 键 盘 触 发 包括 击 键 次 数 触 发 、 组 合 键 触发 、 热 启动 触发 等 。 

(4) 感染 触发 。 许 多 病毒 的 感染 需要 某 些 条 件 触发 ， 而 且 相 当 数 量 的 病毒 以 与 感染 有 
关 的 信息 反 过 来 作为 破坏 行为 的 触发 条 件 ， 称 为 感染 触发 。 它 包括 运行 感染 文件 个 数 触发 、 
感染 序数 触发 、 感 染 磁盘 数 触发 和 感染 失败 触发 等 。 

(5) 启动 触发 。 病 毒 对 计算 机 的 启动 次 数 计数 ， 并 将 此 值 作为 触发 条 件 。 

(6) 访问 磁盘 次 数 触发 。 病 毒 对 磁盘 IO 访问 次 数 进行 计数 ， 以 预定 次 数 作为 触发 
条 件 。 

(7) CPU 型 号 /主板 型 号 触发 。 病 毒 能 识别 运行 环境 的 CPU 型 号 /主板 型 号 ， 以 预定 
CPU 型 号 /主板 型 号 作为 触发 条 件 ， 这 种 病毒 的 触发 方式 奇特 罕见 。 

4. 破坏 模块 


在 触发 条 件 满 足 的 情况 下 ， 病 毒 对 系统 或 磁盘 上 的 文件 进行 破坏 。 这 种 破坏 活动 不 一 
定 都 是 删除 磁盘 上 的 文件 ， 有 的 可 能 是 显示 一 串 无 用 的 提示 信息 。 有 的 病毒 在 发 作 时 ， 会 
干扰 系统 或 用 户 的 正常 工作 。 而 有 的 病毒 ， 一 旦 发 作 ， 则 会 造成 系统 死机 或 删除 磁盘 文件 。 
新 型 的 病毒 发 作 还 会 造成 网 络 的 拥塞 甚至 瘫痪 。 
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计算 机 病毒 破坏 行为 的 激烈 程度 取决 于 病毒 作者 的 主观 愿望 和 他 所 具有 的 技术 含量 。 
数 以 万 计 、 不 断 发 展 扩张 的 病毒 ， 其 破坏 行为 千奇百怪 。 病 毒 破坏 目标 和 攻击 部 位 主要 有 
系统 数据 区 、 文 件 、 内 存 、 系 统 运行 速度 、 磁 盘 、CMOS、 主 板 、 网 络 等 。 


3.5.2 ”文件 型 病毒 的 实例 一 一 CIH 病毒 


CIH 病毒 是 一 种 能 够 破坏 计算 机 系统 硬件 的 恶性 病毒 。 据 目前 统计 的 资料 来 看 ， 这 个 
病毒 产 自 中 国 台湾 ， 最 早 随 国际 两 大 盗版 集团 贩卖 的 盗版 光盘 在 欧美 等 地 广泛 传播 ， 随 后 
进一步 通过 Internet 传播 到 全 世界 各 个 角落 。 图 3.2 所 示 为 CIH 病毒 。 


ECR“UCR 
2F8 


capability .，D15ableg 
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BOOT FAILURE, INSERT SYSTEN DISK AND PRESS ENTER 


3.2 ”CIH 病毒 


当然 ，CIH 对 BIOS 的 破坏 也 并 非 想象 中 的 那么 可 怕 。 现 在 PC 基本 上 使 用 两 种 只 读 存 
储 器 存放 BIOS 数据 ， 一 种 是 使 用 传统 的 ROM 或 EPROM， 另 一 种 就 是 EPROM。 厂 家 事 
先 将 BIOS 以 特殊 手段 “ 烧 ” 入 (又 称 “ 固 化 ”) 到 这 些 存储 器 中 ， 然 后 将 它们 安装 在 PC 中 。 
当 打开 计算 机 电源 时 ，BIOS 中 的 程序 和 数据 首先 被 执行 、 加 载 ， 使 得 系统 能 够 正确 识别 机 
器 里 安装 的 各 种 硬件 并 调用 相应 的 驱动 程序 ， 然 后 硬盘 再 开始 引导 操作 系统 。 固 化 在 ROM 
或 EPROM 中 的 数据 ， 只 有 施 以 特殊 的 电压 或 使 用 紫外 线 才 有 可 能 被 清除 。 要 清除 存储 在 
这 类 只 读 存储 器 中 的 数据 ， 仅 人 靠 计算 系统 内 部 的 电压 是 不 够 的 。 所 以 ， 仅 使 用 这 种 只 读 存 
储 器 存储 BIOS 数据 的 用 户 ， 不 必 担心 CIH 病毒 会 破坏 BIOS。 但 Pentium 以 上 的 计算 机 姑 
本 上 都 使 用 了 E?PROM 存储 部 分 BIOS。E?PROM 又 名 “ 电 可 改写 只 读 存 储 器 ”。 一 般 情况 
下 ， 这 种 存储 器 中 的 数据 并 不 会 被 用 户 轻易 改写 ， 但 只 要 施加 特殊 的 逻辑 和 电压 ， 就 有 可 
能 将 E?PROM 中 的 数据 改写 掉 。 使 用 PC 的 CPU 逻辑 和 计算 机 内 部 电压 就 可 轻易 实现 对 
EPROM 的 改写 , 这 正 是 我 们 通过 软件 升级 BIOS 的 原理 , 也 是 CIH 破坏 BIOS 的 基本 方法 。 
改写 EPROM 内 的 数据 需要 一 定 的 逻辑 条 件 ， 不 同 PC 系统 对 这 种 条 件 的 要 求 可 能 并 不 相 
同 ， 所 以 CIH 并 不 会 破坏 所 有 使 用 EPPROM 存储 BIOS 的 主板 ， 目 前 报道 被 破坏 过 的 只 有 
技嘉 和 微星 等 几 种 5V 主板 ， 这 并 不 是 说 这 些 主板 的 质量 不 好 ， 只 不 过 其 EPROM 逻辑 下 
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好 与 CIH 吻合 ， 或 者 CIH 的 编制 者 也 许 就 是 要 有 目的 地 破坏 某 些 品牌 的 主板 。 所 以 ， 要 判 
断 CIH 对 你 的 主板 究竟 有 没有 危害 ， 首先 应 该 判别 你 的 BIOS 是 仅仅 “ 烧 ” 在 ROM/EPROM 
之 中 ,还 是 有 一 部 分 使 用 了 E?PROM。 需 要 注意 的 是 ， 虽 然 CIH 并 不 会 破坏 所 有 BIOS, 但 
CIH 在 “黑色 ”的 26 日 摧毁 硬盘 上 的 所 有 数据 远 比 破坏 BIOS 要 严重 得 多 ， 这 是 每 个 感染 
CIH 病毒 的 用 户 不 可 避免 的 。 

CIH 属 恶性 病毒 , 当 其 发 作 条 件 成 熟 时 , 将 破坏 硬盘 数据 , 同时 有 可 能 破坏 BIOS 程序 ， 
其 发 作 特 征 如 下 。@ 以 2048 个 扇 区 为 单位 ， 从 硬盘 主 引导 区 开始 依次 往 硬 盘 中 写 入 垃圾 数 
据 ， 直 到 硬盘 数据 被 全 部 破坏 为 止 。 最 坏 的 情况 下 硬盘 中 的 所 有 数据 ( 含 全 部 逻辑 盘 数 据 ) 
均 被 破坏 ， 如 果 重 要 信息 没有 备份 ， 那 就 无 法 恢复 。@@ 某 些 主板 上 的 Flash Rom 中 的 BIOS 
信息 将 被 清除 . @v1.4 版 本 每 月 26 号 发 作 , v1.3 版 本 每 年 6 月 26 号 发 作 , 以 下 版 本 为 v1.2， 
每 年 4 月 26 号 发 作 时 的 BIOS 对 话 框 ， 如 图 3.3 所 示 。 
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3.3 CIH 病毒 v1.2 版 


由 于 流行 的 CIH 病毒 版 本 中 ， 其 标识 版 本 号 的 信息 使 用 的 是 明文 ， 因 此 可 以 通过 搜索 
可 执行 文件 中 的 字符 串 来 识别 是 否 感染 了 CIH 病毒 , 搜索 的 特征 串 为 “CIH v” 或 者 是 “CIH 
v1.”。 如 果 你 想 搜 索 更 完全 的 特征 字符 串 ， 可 尝试 “CIH v1.2 TTIT”、“CIH v1.3 TTIT” 
以 及 “CIH v1.4 TATUNG”, 不 要 直接 搜索 “CIH” 特 征 串 ， 因 为 此 特征 串 在 很 多 的 正常 程 
序 中 也 存在 ， 例 如 程序 中 存在 如 下 代码 行 ，ine bx dec cx dec ax， 则 它们 的 特征 码 正好 是 
“CIH(0x43;0x49;0x48)”， 容 易 产 生 误 判 。 具 体 的 搜索 方法 为 :首先 打开 【资源 管理 器 】 
窗口 ， 选 择 【 工 具 】 一 【查找 】 一 【文件 或 文件 来】 命令， 在 弹出 的 【查找 文件 】 设 置 窗 
口 的 【名 称 和 位 置 】 对 话 框 中 输入 查找 路 径 及 文件 名 (如 : *.exe)， 然 后 单 击 【高 级 】 菜 单 。 
选择 【包含 文字 】 栏 ， 输 入 要 查找 的 特征 字符 串 ， 如 CIH， 最 后 单 击 【 查 找 】 按 钮 即 可 
始 查 找 工作 。 如 果 在 查找 结果 中 ， 显 示 出 一 大 堆 符 合 查找 特征 的 可 执行 文件 ， 则 表明 你 的 
计算 机 上 已 经 感染 了 CIH 病毒 。 

实际 上 ， 在 以 上 的 方法 中 存在 着 一 个 致命 的 缺点 ， 那 就 是 : 如 果 刚 刚 感 染 CIH 病毒 ， 
那么 这 样 一 个 大 面积 的 搜索 过 程 实际 上 也 是 在 扩大 病毒 的 感染 面 。 

一 般 情况 下 ,推荐 的 方法 是 先 运行 一 下 “写字 板 ” 软 件 ， 然 后 使 用 上 面 的 方法 在 “ 写 
字 板 ”软件 的 可 执行 程序 Notepad.exe 中 搜索 特征 串 ， 以 判断 是 否 感染 了 CIH 病毒 。 另外 
一 个 判断 方法 是 在 Windows PE 文件 中 搜索 IMAGE NT_SIGNATURE 字段 ， 也 就 是 
0x00004550， 其 代表 的 识别 字符 为 “PE00”， 然 后 查看 其 前 一 个 字 节 是 否 为 0x00， 如 果 是 ， 
则 表示 程序 未 受 感染 ， 如 果 为 其 他 数值 ， 则 表示 很 可 能 已 经 感染 了 CIH 病毒 。 最 后 一 个 判 
断 方法 是 先 搜索 IMAGE_NT_SIGNATURE 字段 “PE00”， 接 着 搜索 其 偏 移 0x28 位 置 处 的 
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值 是 否 为 55 8D 44 24 F8 33 DB 64， 如 果 是 ， 则 表示 此 程序 已 被 感染 。 
适合 高 级 用 户 使 用 的 一 个 方法 是 直接 搜索 特征 代码 ， 并 将 其 修改 掉 。 方 法 是 : 先 处 理 
掉 两 个 转 跳 点 ， 即 搜索 5E CC 56 8B F0 特征 串 以 及 5E CC FB 33 DB 特征 串 ， 将 这 两 个 特 
征 串 中 的 CC 改 为 90(nop)， 接 着 搜索 CD 20 53 00 01 00 83 C4 20 与 CD 20 67 00 40 00 特 
征 字 串 ， 将 其 全 部 修改 为 90 即 可 (以 上 数值 全 部 为 十 六 进 制 )。 
另外 一 种 方法 是 将 原先 的 PE 程序 的 正确 入 口 点 找 回 来 ， 填 入 当前 入 口 点 即 可 。 此 处 以 
一 个 被 感染 的 CALC.exe 程序 为 例 ， 具 体 方法 为 : 先 搜 IMAGE NT_SIGNATURE 字段 
“PE00”， 接 着 将 距 此 点 偏 移 0x28 处 的 4 个 字 节 值 ， 例 如 “A0 02 00 00”(0x000002A0)， 
再 由 此 偏 移 所 指 的 位 置 ( 即 0x02A0) 找 到 数据 “55 8D 44 24 F8 33 DB 64”， 并 由 0X02A0 加 
上 0X005E 得 到 0x02FE 偏 移 ， 此 偏 移 处 的 数据 如 为 “CB 21 40 00”(0X004021CB)， 将 此 值 
减 去 0X40000， 将 得 数 “CB 21 00 00”(0X000021CB) 值 放 回 到 距 “PE00” 点 偏 移 0x28 的 
位 置 即 可 (此 处 为 Windows PE 格式 程序 的 入 口 点 ， 术 语 称 为 Program Entry Point)。 最 后 将 
“55 8D 44 24 F8 33 DB 64” 全 部 填 成 “00”， 使 得 我 们 容易 判断 病毒 是 否 已 经 被 杀 除 过 。 
按照 上 面 手工 杀毒 的 方法 一 般 适合 于 某 些 单独 的 软件 (例如 正在 使 用 的 某 些 软 件 包 含 在 软盘 
中 ， 却 被 感染 了 CIH 病毒 ， 不 能 正常 读 取 ， 可 现在 就 要 用 的 )。 使 用 上 述 方法 的 缺点 在 于 病 
毒 体 还 将 保留 在 可 执行 文件 中 ， 虽 然 不 会 起 作用 ， 但 是 想起 来 可 能 会 有 点 不 舒服 (记得 
“WPS2000 测试 版 残留 CIH 病毒 尸体 ”的 事件 吗 ? )。 所 以 ， 想 彻底 杀 灭 ， 推 荐 使 用 某 些 反 
病毒 软件 进行 或 是 CIH 专用 杀毒 工具 (以 上 操作 以 及 使 用 反 病 毒 软件 进行 杀毒 时 ， 必 须 使 
“和 干净 ”的 系统 盘 启 动 计算 机 )。 


3.5.3 ” 宏 病 毒 


宏 病 毒 是 一 种 寄存 在 文档 或 模板 的 宏 中 的 计算 机 病毒 。 一 旦 打开 这 样 的 文档 ， 其 中 的 
宏 就 会 被 执行 ， 于 是 宏 病 毒 就 会 被 激活 ， 转 移 到 计算 机 上 ， 并 驻 留 在 Normal 模板 上 。 从 此 
以 后 ， 所 有 自动 保存 的 文档 都 会 “感染 ”上 这 种 宏 病 毒 ， 而 且 如 果 其 他 用 户 打 开 了 感染 病 
毒 的 文档 ， 宏 病毒 又 会 转移 到 他 的 计算 机 上 。 

以 Word 软件 为 例 ， 宏 病毒 的 危害 主要 有 以 下 几 个 方面 。 

1) ” 宏 病 毒 对 系统 的 主要 破坏 

Word 宏 病 毒 的 破坏 表现 在 两 方面 。 

(1) 对 Word 运行 文件 的 破坏 。 不 能 正常 打印 ; 封闭 或 改变 文件 存储 路 径 ; 将 文件 改名 ; 
乱 复制 文件 ; 封闭 有 关 菜 单 ; 文件 无 法 正常 编辑 。 如 Taiwan No.l1 Macro 病毒 每 月 13 日 发 作 ， 
所 有 编写 工作 无 法 进行 。 

(2) 对 系统 的 破坏 。Word Basic 语言 能 够 调用 系统 命令 ， 造 成 破坏 。 

2) ” 宏 病 毒 隐蔽 性 强 ， 传 播 迅 速 ， 危 害 严 重 ， 难 以 防治 

与 感染 普通 .exe 或 .com 文件 的 病毒 相 比 ，Word 宏 病 毒 具有 隐蔽 性 强 、 传 播 迅 速 、 危 害 
严重 、 难 以 防治 等 特点 。 

(1) 宏 病 毒 隐蔽 性 强 。 由 于 人 们 忽视 了 在 传递 一 个 文档 时 也 会 有 传播 病毒 的 机 会 。 宏 
病毒 隐藏 在 文档 中 ， 一般人 很 难 发 现 ， 且 人 们 常常 关注 .exe 和 .com 文件 的 病毒 而 忽略 Word 
文档 ， 当 人 们 在 传递 一 个 文档 时 ， 宏 病毒 便 有 了 传播 的 机 会 。 
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(2) 宏 病 毒 传 播 迅 速 。 因为 办 公 数 据 的 交流 要 比 复制 .exe 文件 更 加 频繁 , 如 果 说 遏制 盗 
版 可 以 减少 普通 .exe 或 .com 病毒 传播 的 话 ， 那 么 这 一 招 对 Word 病毒 将 束手无策 。 

3) ”危害 严重 
为 Microsoft Word 几乎 已 经 成 为 目前 全 世界 办 公文 档 的 事实 工业 标准 ， 其 影响 是 全 
球 范围 的 ， 在 中 国 也 不 例外 。Word 文件 的 交换 是 目前 办 公 数 据 交流 和 传送 的 最 通常 的 方式 
之 一 ， 其 涉及 面 比 盗版 软件 的 传播 要 大 得 多 ， 传 播 速度 则 更 加 有 过 之 而 无 不 及 。 据 报道 ， 
看 VCD 和 使 用 Word 的 用 户 是 使 用 Windows 应 用 程序 的 榜首 。 无 数 的 Word 文件 从 上 级 机 
关 金 字 塔 般 地 传播 到 基层 ， 基 层 又 上 报到 上 级 机 关 ， 从 各 个 单位 的 办 公 室 到 工作 者 的 家 庭 ， 
到 出 版 部 门 的 计算 机 系统 。 于 是 ， 便 存在 这 样 一 种 可 能 ，Win 7/XP 等 计算 机 系统 在 传播 和 
复制 这 些 数据 以 及 文档 文件 的 同时 ， 也 在 “忠实 ”地 传播 和 复制 这 些 病 毒 。 

由 于 该 病毒 能 跨越 多 种 平台 ， 并 且 针 对 数据 文档 进行 破坏 ， 因 此 具有 极 大 的 危害 性 ， 
该 病毒 在 公司 通过 内 联网 相互 进行 文档 传送 时 ， 迅 速 蔓延 ， 往 往 很 快 就 能 使 公司 的 机 器 全 
部 染 上 病毒 。 

4) ”难以 防治 

由 于 宏 病 毒 利用 了 Word 的 文档 机 制 进行 传播 , 因此 它 和 以 往 的 病毒 防治 方法 不 同 。 一 
般 情况 下 ， 人 们 大 多 注意 可 执行 文件 (.com、.exe) 的 病毒 感染 情况 ， 而 Word 宏 病 毒 寄生 于 
Word 的 文档 中 ， 而 且 人 们 一 般 都 要 对 文档 文件 进行 备份 ， 因 此 该 病毒 可 以 隐藏 很 长 一 段 时 
间 。 如 图 3.4 所 示 的 就 是 无 法 清除 的 Office 病毒 。 


3.4 无 法 清除 的 Office 宏 病毒 


虽然 不 是 所 有 包含 宏 的 文档 都 包含 了 宏 病 毒 ， 但 当 有 下 列 情况 之 一 时 ， 可 以 百分之百 
地 断定 你 的 Office 文档 或 Office 系统 中 有 宏 病 毒 。 


(1) 在 打开 【 宏 病毒 防护 功能 】 的 情况 下 ， 当 你 打开 一 个 你 自己 写 的 文档 时 ， 系 统 会 
弹出 相应 的 警告 框 。 而 你 清楚 你 并 没有 在 其 中 使 用 宏 或 并 不 知道 宏 到 底 怎么 用 ， 那 么 可 以 
完全 肯定 你 的 文档 已 经 感染 了 宏 病 毒 。 

(2) 同样 是 在 打开 【 宏 病 毒 防护 功能 】 的 情况 下 ， 你 的 Office 文档 中 一 系列 的 文件 都 
在 打开 时 给 出 宏 警 告 。 由 于 在 一 般 情 况 下 我 们 很 少 使 用 到 宏 ， 因 此 当 你 看 到 成 串 的 文档 有 
宏 警 告 时 ， 可 以 肯定 这 些 文档 中 有 宏 病 毒 。 
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(3) 如 果 软 件 中 关于 宏 病 毒 防护 选项 启用 后 ,在 下 次 开机 时 依然 需要 重新 启用 。 从 Word 
97 开始 提供 了 对 宏 病 毒 的 防护 功能 ， 单 击 工具 栏 中 【工具 】 按 钮 ， 在 下 拉 菜单 中 选择 【 选 
项 】 选 项 ， 弹 出 【选项 】 对 话 框 ， 选 择 【 常 规 】 子 对 话 框 ， 进 行 设 定 。 但 有 些 宏 病毒 为 了 
对 付 提 供 的 宏 警 告 功能 ， 它 在 感染 系统 (这 通常 只 有 在 你 关闭 了 宏 病 毒 防护 选项 或 者 出 现 宏 
警告 后 你 不 留神 选取 了 【启用 宏 】 才 有 可 能 ) 后 ， 会 在 你 每 次 退出 Office 时 自动 屏蔽 掉 宏 病 
毒 防护 选项 。 因 此 ， 一旦 发 现 你 的 机 器 中 设置 的 宏 病 毒 防 护 功能 选项 无 法 在 两 次 启动 Word 
之 间 保 持 有 效 ， 则 你 的 系统 一 定 已 经 感染 了 宏 病 毒 。 也 就 是 说 ， 一 系列 Word 模板 特别 是 
Normal.dot 已 经 被 感染 。 

鉴于 绝 大 多 数 人 都 不 需要 或 者 不 会 使 用 “ 宏 ” 这 个 功能 ， 我 们 可 以 得 出 一 个 相当 重要 
的 结论 : 如 果 你 的 Office 文档 在 打开 时 ， 系 统 给 出 一 个 宏 病毒 警告 框 ， 那 么 你 应 该 对 这 个 
文档 保持 高 度 警 惕 ， 它 已 被 感染 的 概率 极 大 。 注 意 : 简单 地 删除 被 宏 病毒 感染 的 文档 并 不 
能 清除 Office 系统 中 的 宏 病毒 。 

那 怎样 对 宏 病毒 进行 防范 和 消除 呢 ? 

(1) 首选 方法 : 用 最 新 版 的 反 病 毒 软件 清除 宏 病 毒 。 使 用 反 病 毒 软件 是 一 种 高 效 、 安 
全 和 方便 的 清除 方法 ， 也 是 一 般 计 算 机 用 户 的 首选 方法 。 但 是 宏 病 毒 并 不 像 某 些 厂商 或 麻 
痹 大 意 的 人 那样 认为 的 有 所 谓 “ 广 谱 ”( 即 常规 的 、 普 通 的 、 非 专用 性 的 ) 的 查 杀 软件 ， 这 方 
的 突出 例子 就 是 ETHAN 宏 病 毒 。ETHAN 宏 病 毒 相 当 隐 蔽 , 即使 你 使 用 KV300 Z+、 RAV 
V9.0(11)、KILL 85.03 等 反 病毒 软件 都 无 法 查 出 它 。 此 外 ， 这 个 宏 病 毒 能 够 悄悄 取消 Word 
中 宏 病 毒 防护 选项 ， 并 且 某 些 情况 下 会 把 被 感染 的 文档 设置 为 只 读 属性 ， 从 而 更 好 地 隐藏 、 
自己 。 因 此 ， 对 付 宏 病毒 应 该 和 对 付 其 他 种 类 的 病毒 一 样 ， 也 要 尽量 使 用 最 新 版 的 查 杀 病 
毒 软件 , 如 “Office 病毒 专 杀 ” 的 安装 界面 如 图 3.5 所 示 。 无 论 你 使 用 的 是 何 种 反 病毒 软件 ， 
及 时 升级 是 非常 重要 的 。 例 如 虽然 KV300 Z+ 版 不 能 查 杀 ETHAN 宏 病 毒 ， 但 最 新 推出 的 
KV300 Z++ 已 经 可 以 查 杀 它 了 。 


你 的 电脑 处 于 安全 状态 ! 
a 
定 病 玄 防 火 坊 正 在 种 护 您 的 电脑 ， 上 次 扫 插 时 间 是 0 天 前 
到 
区 [ol 2 
全 盘 扫 描 快速 扫描 自 定义 扫描 
程序 设置 后 悔 药 要 典 程式 特别 沁 明 退出 程序 
si NR 


图 3.5 ”Office 病毒 专 杀 界面 


(2) 应 急 处 理 方法 : 用 写字 板 或 Word 6.0 文档 作为 清除 宏 病 毒 的 桥梁 。 如 果 Word 系 
统 没 有 感染 宏 病毒 ， 但 需要 打开 某 个 外 来 的 、 已 查 出 感染 有 宏 病 毒 的 文档 ， 而 手头 现 有 的 
反 病 毒 软件 又 无 法 查 杀 它们 ， 那 么 你 可 以 试用 下 面 的 方法 来 查 杀 文档 中 的 宏 病 毒 ， 打 开 这 
个 包含 了 宏 病 毒 的 文档 。 操 作 步 又 为 : 单 击 Word 工具 栏 中 的 【工具 】 按 钮 ， 选 择 【 宏 】 功 
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能 ， 在 其 子 菜单 中 选择 【查看 宏 】 按 钮 创建 一 个 新 建 Book.doc 的 宏文 件 ， 进 入 宏 编辑 器 ， 
加 入 以 下 代码 : 


Private Sub Workbook Open() 

Dim WorkbookInfected Rs Boolean 

Dim ad As Object 

Dim strVirusName As String 

Dim intVBcomponentNo As Integer 

Dim i Rs Integer  ”% 下 面 两 句 为 病毒 感染 标记 及 病毒 名 因为 要 扫描 自己 ,用 “&” 连 接 字符 串 
可 以 避免 误 判 自己 ， 代 码 重用 时 ， 针 对 不 同 的 病毒 可 修改 以 下 两 名 


Const Marker "<- this is another" & " marker!" 


strVirusName = "Marker" 

While (1) %If 语句 部 分 判断 是 否 检查 到 自己 ， 如 果 只 剩 下 自己 ， 则 退出 程序 

If ActiveWorkbook.Name = Me.Name Then 

ActiveWindow.ActivateNext 

If ActiveWorkbook.Name = Me.Name Then GoTo EndRun 

End If % 可 能 存在 VB 宏 代码 处 的 数目 

intVBcomponentNo = ActiveWorkbook.VBProject.VBComponents.Count 

For i = 1 To intVBcomponentNo 

Set ad = ActiveWorkbook.VBProject.VBComponents.Item(i) % 是 否 包含 特征 字符 串 

WorkbookInfected = ad.CodeModule.Find(Marker, 1, 1, 10000, 10000) 

s# 如 果 包 含 特征 字符 串 ， 则 进行 杀毒 处 理 

If WorkbookInfected = True Then % 如 果 病 毒 为 追加 感染 ， 请 修改 这 一 句 。 注 意 这 里 为 全 删 
除 宏 

ad.CodeModule.DeleteLines 1，ad.CcodeModule.CcountofLines $% 提 示 信 息 

MsgBox ActiveWorkbook.FullName & "被 " & strVirusName & _" 宏 病毒 感染 已 去 除 !"， 

vbInformation, "By:Ray.Deng" 

End If 

Next ”$ 关 闭 打 开 的 文件 

ActiveWorkbook.Close 1 % 切 换 至 下 一 个 文件 

ActiveWindow.ActivateNext 

Wend 

EndRun: 

End Sub 


编 好 代码 后 存盘 ， 然 后 查找 所 有 .doc 文件 ， 选 择 全 部 (除了 刚 编 的 Book.doc)， 右 击 ， 选 
择 【 打 开 (Open)】 选 项 ， 开 启 文件 时 如 果 提 示 【 是 否 开启 宏 】， 可 单 击 【 不 开启 宏 】 按 钮 。 
然后 ， 打 开除 了 刚 编 的 Book.doc 外 的 所 有 .doc 文件 ， 选 择 【 开 启 宏 】 选 项 即 可 。 

存盘 后 应 该 检查 一 下 文档 的 完整 性 ， 如 果 文 档 内 容 没 有 任何 丢失 ， 并 且 在 重新 打开 此 
文档 时 不 再 出 现 宏 警 告 ， 则 大 功 告 成 。 


3.5.4 ”蠕虫 病毒 的 实例 一 “熊猫 烧香 ”病毒 


“熊猫 烧香 ”病毒 是 一 个 能 在 Windows 9X/NT/2000/XP/2003 系统 上 运行 的 蠕虫 病毒 。 
这 一 病毒 采用 “熊猫 烧香 ”头像 作为 图 标 ， 诱 使 计算 机 用 户 运行 。 它 的 变种 会 感染 计算 机 
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上 的 .exe 可 执行 文件 ， 被 病毒 感染 的 文件 图 标 均 变 为 “熊猫 烧香 ”。 同 时 ， 受 感染 的 计算 
机 还 会 出 现 蓝屏 、 频 繁重 启 及 系统 硬盘 中 数据 文件 被 破坏 等 现象 。 该 病毒 会 在 中 毒 计算 机 
中 所 有 网 页 文件 尾部 添加 病毒 代码 。 一 些 网 站 编辑 人 员 的 计算 机 如 果 被 该 病毒 感染 ， 上 传 
网 页 到 网 站 后 ， 就 会 导致 用 户 浏览 这 些 网 站 时 也 被 病毒 感染 。 据 悉 ， 多 家 著名 网 站 已 经 遭 
到 此 类 攻击 ， 而 且 相 继 被 植 入 病毒 。 由 于 这 些 网 站 的 浏览 量 非常 大 ， 致 使 “熊猫 烧香 ” 病 
毒 的 感染 范围 非常 广 ， 中 毒 企 业 和 政府 机 构 已 经 超过 千家 ， 其 中 不 乏 金融 、 税 务 、 能 源 等 
关系 到 国计民生 的 重要 单位 。 注 : 江苏 等 地 区 成 为 “熊猫 烧香 ”病毒 泛滥 的 “ 重 灾区 ”。 
图 3.6 所 示 为 中 毒 的 计算 机 桌面 。 


3.6 ”中 毒 的 计算 机 桌面 


该 病毒 会 删除 扩展 名 为 .gho 的 文件 ， 使 用 户 无 法 使 用 ghost 软件 恢复 操作 系统 。“ 熊 猫 
烧香 ”感染 系统 的 .exe、.com、.f、.src、.html、.asp 文件 ， 添 加 病毒 网 址 ， 导 致 用 户 一 打开 
这 些 网 页 文件 ，IE 就 会 自动 连接 到 指定 的 病毒 网 址 中 下 载 病毒 。 并 在 硬盘 各 个 分 区 下 生成 
文件 Autorun.inf 和 Setup.exe, 可 以 通过 吉 盘 和 移动 硬盘 等 方式 进行 传播 , 并且 利用 Windows 
系统 的 自动 播放 功能 来 运行 , 搜索 硬盘 中 的 .exe 可 执行 文件 并 感染 , 感染 后 的 文件 图 标 变 成 
“熊猫 烧香 ”图 案 。“ 熊 猫 烧香 ”还 可 以 通过 共享 文件 夹 、 系 统 弱 口令 等 多 种 方式 进行 传 
播 。 图 3.7 所 示 为 中 毒 后 弹出 的 窗口 ， 表 明 用 户 的 计算 机 中 了 “熊猫 烧香 ”病毒 。 


一 一 一 一 | 
Renote Procedure Call (RPC) 5 二 得 
外 终止 ，Windows 必须 立即 重新 


3.7 ”中 毒 后 弹出 的 窗口 
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具体 解决 方法 如 下 。 

(1) 立即 检查 本 机 Administrator 组 成 员 口 令 。 注 意 一 定 要 放弃 简单 口令 甚至 空 口令 ， 
安全 的 口令 是 字母 数字 特殊 字符 的 组 合 ， 自 己 记得 住 ， 别 让 病毒 猜 到 就 行 。 

修改 方法 : 右 击 【 我 的 电脑 】 图 标 ， 在 弹出 的 右键 菜单 中 选择 【管理 】 选 项 ， 展 开 【 本 
地 用 户 和 组 】 节 点 ， 在 右边 的 窗 格 中 选择 具备 管理 员 权限 的 用 户 名 ， 单 击 右键 ， 选 择 【 设 
置 密码 】 选 项 ， 输 入 新 密码 即 可 。 

(2) 利用 组 策略 ， 关 闭 所 有 驱动 器 的 自动 播放 功能 。 

步骤 一 :选择 【开始 】 一 【运行 】 选 项 ， 输 入 gpeditmsc， 打 开 【 组 策略 】 编 辑 器 ， 选 
择 【 计 算 机 配置 】 中 的 【管理 模板 】 节 点 ， 打 开 其 中 的 【系统 】 文 件 夹 ， 在 右边 的 窗 格 中 
找到 【关闭 自动 播放 】 选 项 ， 并 双击 打开 ， 该 配置 默认 为 【未 配置 】 状 态 ， 选 中 【已 启用 】 
单 选 按钮 ， 并 在 下 拉 框 中 选择 【所 有 驱动 器 】 选 项 ， 再 单 击 【应 用 】 按 钮 ， 并 单 击 【 确 定 】 
按钮 。 最后， 选择 【开始 】 一 【运行 】 选 项 ， 输 入 gpupdate， 单 击 【确定 】 按 钮 后 ， 该 策略 
就 生效 了 。 步 又 二 : 打开 【资源 管理 器 】( 按 Windows 徽标 键 +E)， 单 击 【 工 具 】 一 【文件 
夹 选项 】 选 项 ， 再 选择 【查看 】 选 项 卡 ， 在 【高 级 设置 】 列 表 框 中 选择 【显示 所 有 文件 和 
文件 夹 】， 取 消 隐 藏 受 保护 的 操作 系统 文件 ， 取 消 隐 藏 文件 扩展 名 。 

(3) 修改 文件 夹 选项 ， 以 查看 不 明文 件 的 真实 属性 ， 避 免 无 意 双 击 骗 子 程序 中 毒 。 

(4) 时 刻 保持 操作 系统 获得 最 新 的 安全 更 新 ， 不 要 随意 访问 来 源 不 明 的 网 站 ， 特 别 是 
微软 的 MS06-014 漏洞 ， 应 立即 打 好 该 漏洞 补丁 。 同 时 QQ、UC 的 漏洞 也 可 以 被 该 病毒 利 
用 ， 因 此 ， 用 户 应 该 去 它们 的 官方 网 站 打 好 最 新 补丁 。 此 外 ， 由 于 该 病毒 会 利用 正 浏览 器 
的 漏洞 进行 攻击 ， 因 此 用 户 还 应 该 给 IE 打 好 所 有 补丁 。 如 果 必 要 的 话 ， 用 户 可 以 暂时 换 上 
Firefox、Opera 等 比较 安全 的 浏览 器 。 

(5) 启用 Windows 防火 墙 保护 本 地 计算 机 。 同 时 ， 局 域 网 用 户 尽量 避免 创建 可 写 的 共 
享 目 录 ， 已 经 创建 共享 目录 的 应 立即 停止 共享 。 

此 外 ， 对 于 未 感染 的 用 户 ， 病 毒 专家 建议 : 不 要 登录 不 良 网 站 ， 及 时 下 载 微软 公布 的 
最 新 补丁 来 避免 病毒 利用 漏洞 袭击 用 户 的 计算 机 ， 同 时 上 网 时 应 采用 “杀毒 软件 + 防火 墙 ” 
的 立体 防御 体系 。 


3.5.5 “了 磁 碟 机 ”病毒 


“ 磁 碟 机 ”病毒 又 名 Dummycom 病毒 (又 名 “千足 虫 ”)， 据 360 安全 中 心 统计 ， 每 日 
感染 “ 磁 碟 机 ”病毒 的 计算 机 用 户 数 已 逾 100 000。“ 磁 碟 机 ” 现 已 出 现 100 余 个 变种 ， 目 
前 病毒 感染 和 传播 范围 正在 呈现 草 延 之 势 。 病 毒 造 成 的 危害 及 损失 10 倍 于 “熊猫 烧香 ”。 

“ 磁 碟 机 ”病毒 并 不 是 一 个 新 病毒 ， 早 在 2007 年 2 月 ， 就 已 初 现 端倪 。 当 时 它 仅 仅 是 
被 作为 一 种 蠕虫 病毒 ， 成 为 所 有 反 病 毒 工作 者 的 关注 目标 。 而 当时 这 种 病毒 的 行为 也 仅仅 
局 限于 在 系统 目录 system 下 的 system32com 生成 lsass.exe 和 Smss.exe， 感 染 用 户 计算 机 上 
的 exe 文件。 病毒 在 当时 的 传播 量 和 处 理 的 技术 难度 都 不 大 。 数据 表明 ,病毒 作者 几乎 每 两 
天 就 会 更 新 一 次 病毒 ， 并 吸取 了 其 他 病毒 的 特点 (例如 臭名 昭著 的 “AV 终结 者 ”， 攻 击破 
坏 安 全 软件 和 检测 工具 )， 结 合 了 目前 病毒 流行 的 传播 手段 ， 逐 渐 发 展 为 目前 感染 量 、 破 坏 
性 、 清 除 难度 都 超过 同期 病毒 的 新 一 代 毒 王 。 图 3.8 为 检测 到 的 “ 磁 碟 机 ”病毒 。 
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“ 磁 碟 机 ”病毒 主要 通过 U 盘 和 局 域 网 ARP 攻击 传播 ， 如 果 当 你 无 法 访问 各 个 安全 软 
件 站 点 ， 或 者 从 安全 站 点 的 官网 下 载 的 安装 程序 有 问题 时 ， 极 有 可 能 是 已 经 中 了 磁 碟 机 病 


毒 ， 病 毒 感染 系统 可 执行 文件 ， 能 够 利 


算 机 系统 出 现 蓝屏 、 死 机 等 现象 ， 严 重 危 害 被 感染 计算 机 的 系统 和 数据 安全 。 


与 其 他 关闭 杀毒 软件 的 病毒 不 同 的 是 ， 该 病毒 利用 


多 种 手段 终止 杀毒 软件 运行 ， 并 可 导致 被 感染 计 


了 多 达 六 种 强制 关闭 杀毒 软件 和 干 


扰 用 户 查 杀 的 反攻 手段 ， 许 多 自身 保护 能 力 不 够 强壮 的 杀毒 软件 在 该 病毒 面前 纷纷 天 折 。 
病毒 在 每 个 磁盘 下 生成 Pagefile.exe 和 Autorun.inf 文件 ， 并 每 隔 几 秒 检测 文件 是 否 存 在 ， 修 


改 注册 表 键 值 ， 破 坏 【 显 示 系 统 文件 】 功 能 。 每 隔 一 段 时 间 会 检测 自 


安全 模式 、Ifeo、 病 毒 文件 等 项 ， 如 被 用 户 修改 则 重新 破坏 。 


图 3.8 
病毒 执行 后 ， 会 删除 病毒 主体 文件 。; 


“ 磁 碟 机 ”病毒 


病毒 会 | 
如 果 假设 不 存在 的 话 则 重新 生成 。 当 复制 失败 后 ， 病 毒 会 调用 rd/s /q 命令 删除 


己 破 坏 过 的 显示 文件 、 


竹 控 lsass.exe、smss.exe 和 dnsq.dll 文件 ， 


原来 的 文件 ， 


再 重新 写 入 。 病 毒 会 连接 恶意 网 址 下 载 大 量 木马 病毒 。 该 病毒 运行 后 会 在 系统 目录 


目录 (默认 为 ci\windows\system32\com) 下 生成 名 为 lsass.exe 及 Smss.exe 的 文件 。 
染 除 Windows 及 Program files 目录 下 所 有 exe 格式 可 执行 文件 ， 会 造成 用 户 计 


软件 被 损坏 ， 无 法 使 用 。 
中 毒 的 主要 症状 有 : 系统 运行 缓慢 、 


度 缓慢 ， 甚 至 造成 蓝屏 、 死 机 。 由 于 该 病毒 编写 时 存在 一 些 问 题 ， 可 能 会 造成 | 


频繁 出 


现 死机 、 蓝 屏 、 报 错 等 现象 ; 过 
两 个 lsass.exe 和 两 个 Smss.exe， 且 病毒 进程 的 用 户 名 是 当前 登录 用 户 名 (如 果 只 有 1 个 


PH com 


该 病毒 会 感 
上 算 机 运算 速 


户 安 装 的 


F 程 中 出 现 


lsass.exe 和 1 个 Smss.exe， 且 对 应 用 户 名 为 System， 则 是 系统 正常 文件 ， 请 不 用 担心 )， 杀 
毒 软件 被 破坏 ， 多 种 安全 软件 无 法 打开 ， 安 全 站 点 无 法 访问 ， 系统 时 间 被 算 改 ， 无 法 进入 


安全 模式 ， 隐 藏 文件 无 法 显示 ; 病毒 感染 .exe 文件 导致 其 


ARP 攻击 ， 并 算 改 下 载 链接 为 病毒 链接 ; 弹出 钓鱼 网 站 。 

“ 磁 碟 机 ”病毒 和 “AYV 终结 者 ”、“ 机 器 狗 ” 的 表现 很 类 似 ， 技 术 上 讲 “ 磁 碟 机 ”的 
抗 杀 能 力 更 强 。 多 种 杀毒 软件 无 法 拦截 “ 磁 碟 机 ”的 最 新 变种 ， 在 中 毒 之 后 ， 安 装 杀 毒 软 
件 失败 的 可 能 性 很 大 。 在 某 些 没有 任何 防御 措施 的 计算 机 上 ， 可 能 “ 磁 碟 机 ” 专 杀 工具 一 


图 标 发 生变 化 ， 会 对 局 域 网 发 起 
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运行 就 会 被 删除 。 
在 这 种 极端 情况 下 ， 我 们 可 以 尝试 如 下 杀毒 方案 。 


(1) 将 system32 和 dllcache 目录 下 的 “cmd.exe” 临 时 改名 为 “cm.dll”， 如 图 3.9 所 
示 。 然 后 重启 系统 。 


(2) 重启 系统 后 , 检查 system32 和 dllcache 目录 。 发 现 改 名 后 的 cm.dll 都 在 , 但 是 ， 
system32 目录 下 出 现 了 一 个 奇怪 的 cmd.exe, 这 个 cmd.exe 图 标 不 同 于 正常 的 cmd.exe。 如 
图 3.10 所 示 。 


国 地 正常 cmd.exe 的 logo 


cmd.exe 


加 


cmd.exe 到、 斋 毒 生成 的 cmdexe 的 logo 


3.10 异常 的 cmd.exe 图 标 


(3) 删除 system32 目录 下 那个 异常 的 cmd.exe。 将 system32 和 dllcache 目录 下 的 


cm.dll 改 回 cmd.exe。 如 果 是 多 分 区 系统 ， 非 系统 分 区 也 还 有 病毒 。 这 样 处 理 完 后 并 不 能 和 
底 解决 问题 ， 还 需 用 杀毒 软件 对 全 盘 杀 毒 。 


合 ，3.6 计算 机 病毒 的 防治 


3.6.1 计算 机 病毒 引起 的 异常 现象 


计算 机 病毒 的 一 大 传播 途径 就 是 Internet。 计 算 机 病毒 可 以 “潜伏 ”在 网 络 上 的 各 种 可 
下 载 程序 中 ， 如 果 随 意 下 载 、 随 意 打 开 ， 就 很 容易 被 感染 。 下 面 介绍 下 计算 机 病毒 引起 的 
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一 些 异常 现象 。 


(1) BIOS 病毒 现象 ，@ 开 机 运行 几 秒 后 突然 黑屏 ， 名 外 部 设备 无 法 找到 ，@ 硬 盘 无 法 


找到 ; @ 计 算 机 发 出 异样 声音 。 


(2) 硬盘 引导 区 病毒 现象 ， 四 无 法 正常 启动 硬盘 ，@ 引 导 时 出 现 死机 现象 ， @ 执 行 C 


得 时 显示 “Not ready error drive A Abort,Retry,Fail? ”。 


(3) 操作 系统 病毒 现象 QD 引导 系统 时 间 变 长 ，@ 计 算 机 处 理 速度 比 以 前 明显 放 慢 ; 
@ 系 统 文件 出 现 莫名 其 妙 的 丢失 ， 或 字 节 变 长 ， 日 期 修改 等 现象 ”系统 生成 一 些 特殊 的 
文件 。 回 驱动 程序 被 修改 ， 使 得 某 些 外 设 不 能 正常 工作 ，@ 软 驱 、 光 驱 丢 失 ，@ 计 算 机 经 


常 死 机 或 重新 启动 。 
(4) 应 用 程序 病毒 现象 ， 启动 应 用 程序 出 现 【 非 法 错误 】 对 话 框 ; 


@ 应 | 


程序 文件 


变 大 ，@@ 应 用 程序 不 能 被 复制 、 移 动 、 删 除 ， 甸 硬盘 上 出 现 大 量 无 效 文件 ，@@ 某 些 程序 运 


行 时 载 入 时 间 变 长 。 
如 果 你 的 计算 机 出 现 了 上 述 现象 ， 可 能 已 经 中 毒 了 。 


3.6.2 ”计算 机 防 病毒 技术 


1. 计算 机 防 病毒 技术 简介 
1) ”用 杀毒 软件 对 所 下 载 文 件 进行 检查 


由 于 病毒 可 以 潜伏 在 网 络 上 的 各 种 可 下 载 程序 中 ， 因 此 建议 不 要 贪图 免费 软件 ， 如 果 


实在 需要 ， 则 在 下 载 后 用 杀毒 软件 彻底 检查 。 
2) 不 要 轻易 打开 电子 邮件 的 附件 


近年 来 造成 大 规模 破坏 的 许多 病毒 都 是 通过 电子 邮件 传播 的 。 不 要 以 为 只 打开 熟人 发 
送 的 附件 就 一 定安 全 ， 有 的 病毒 会 自动 检查 受害 人 计算 机 上 的 通讯 录 并 向 其 中 的 所 有 地 址 
自动 发 送 带 毒 文件 。 最 妥当 的 做 法 是 ， 先 将 附件 保存 下 来 ， 用 查 毒 软件 彻底 检查 ， 确 认 没 


有 带 毒 再 打开 。 
3) ”及 早 发 现 病毒 


如 果 原 来 能 正常 工作 的 计算 机 出 现 以 下 症状 反应 缓慢 、 不 断 重新 启动 、 无 法 打开 磁 
盘 、 浏 览 网 页 时 不 断 跳出 广告 窗口 或 地 址 、 鼠 标 单 击 磁盘 出 现 “auto” 字 样 等 不 正常 现象 ， 


那么 这 台 计 算 机 很 可 能 已 经 中 了 病毒 或 存在 其 他 恶意 程序 。 
4) ”使 用 反 病 毒 软件 并 及 时 更 新 病毒 库 


在 所 有 桌面 系统 、 服 务 器 上 安装 反 病毒 软件 ， 并 确保 其 保持 最 新 。 新 病毒 的 传播 速度 


是 极 快 的 ， 现 在 多 数 反 病毒 软件 都 可 以 自动 更 新 ， 及 时 更 新 病毒 库 ， 使 
具有 免疫 力 。 
5) 设置 过 滤 机 制 


摄 性 保护 机 制 。 
6) 用 补丁 保持 软件 最 新 


其 对 新 


H 现 的 病毒 


可 以 在 邮件 网 关上 设置 过 滤 那 些 潜在 的 恶意 邮件 ， 这 可 以 对 新 的 威胁 提供 新 一 层 的 前 


许多 软件 厂商 就 安全 问题 会 发 布 顾问 消息 。 例 如 ， 微 软 维持 着 警告 安全 漏洞 和 问题 的 
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邮件 列表 ， 并 就 用 于 保护 安全 的 补丁 提供 建议 。 

7) 禁用 U 盘 启 动 

目前 , 随 着 U 盘 的 普及 度 大 幅 提 高 , 用 U 盘 保 存 从 网 络 下 载 的 文件 时 可 能 会 感染 U 
盘 病 毒 ， 当 在 其 他 计算 机 上 使 用 时 成 为 感染 源 ， 所 以 可 以 禁用 U 盘 启 动 。 

2. 怎样 追 杀 病毒 


1) 使 用 “360 安全 卫士 ”软件 

(1) 登录 http://www.360safe.com， 下 载 最 新 版 “360 安全 卫士 ”软件 。 

(2) 运行 “360 安全 卫士 ”， 分 别 进行 流氓 软件 和 恶意 程序 的 查 杀 并 进行 系统 优化 设 
置 ， 如 关闭 恶意 启动 项 目 和 进程 、 免 疫 广告 插件 等 。 

(3) 有 时 “360 安全 卫士 ”修复 完 后 ， 在 正常 Windows 模式 下 , IE 上 网 仍 存在 问题 ， 
这 时 可 外 载 “360 安全 卫士 ”软件 后 ， 再 安装 “雅虎 助手 ”进行 “IE 强力 修复 ”， 并 设置 
【重启 后 修复 】， 一 般 都 可 以 解决 问题 。 

(4) 时 间 人 允许 的 话 ， 可 以 利用 该 软件 修复 Windows 各 类 漏洞 和 补丁 。 

(5) 手动 删除 病毒 和 恶意 程序 残留 文件 。 

2) ”使 用 右键 打开 并 查 杀 病毒 

(1) 打开 【我 的 电脑 】 窗 口 ， 选 择 【 工 具 】 一 【文件 夹 选项 】 选 项 ， 在 弹出 的 对 话 框 
中 选择 【查看 】 选 项 卡 ， 在 【高 级 设置 】 列 表 框 中 取消 选中 红色 和 矩形 框 内 的 两 个 选项 ， 如 
图 3.11 所 示 ， 单 击 【 确 定 】 按 钮 。 

文件 来 逃 项 [二 > 一 
党 珊 | 查看 “| 搜索 | 
文件 夹 视图 - 
国 轩 


应 用 到 文件 天 吕 ] [ 重要 文件 赤 @) ] 


rr 文件 
将 路 径 ( 仅 限 经 典 主 题 ) 
打开 文件 夫 窗 品 
提示 中 显示 文件 大 小 信息 


加 在 : 提示 
| 局 六 和 8 业 窑 坎 中 司 二 上 和 1 


- 
到 

图 3.11 设置 文件 夹 选项 

@) 右 击 (一 定 要 右 击 ， 防 止 病毒 残留 文件 再 次 传播 病毒) 本 地 磁盘 ， 在 快捷 荣 单 中 选择 


【打开 】 选 项 ， 然 后 删除 “Autorun.inf” 中 所 有 隐藏 的 .exe 文件 和 文件 夹 以 及 任何 怪异 的 文 
件 。 由 于 C 盘 是 系统 盘 ， 在 对 其 中 的 文件 进行 删除 时 ， 可 对 照 其 他 磁盘 ， 以 免 误 删 。 
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(3) 再 用 更 新 了 病毒 库 的 软件 完全 扫描 杀毒 。 
(4) 重新 启动 计算 机 。 


(5) 将 可 盘 、 移 动 硬 盘 、MP3 等 移动 存储 设备 都 查 杀 一 遍 病 毒 。 


仿 ，3.7 防 病毒 应 具有 的 基础 知识 


3.7.1 常用 的 单机 杀毒 软件 
1. 奇 虎 360 安全 卫士 


(1) 下 载 360 安全 卫士 (http://360safe.qihoo.com/down/soft_down2.html)， 并 进行 安装 ， 
可 以 自 定义 安装 。 安 装 过 程 如 图 3.12 一 图 3.13 所 示 。 


be 
二 360 安 全 卫 十 ~ 
懈 全 新 电脑 门诊 ， 专 治 电脑 异常 op 


360 安 全 卫士 


禾 制 C \VFroerm Files\360\360SafoVConfi ein 


局 已 阅读 并 同意 许可 功 


3.12 360 安全 卫士 安装 界面 1 图 3.13” 360 安全 卫士 安装 界面 2 


(2) 安装 好 之 后 运行 360 安全 卫士 ， 如 图 3.14 所 示 。 
(3) 清理 恶 评 软 件 及 系统 插件 。 如 图 3.15 所 示 。 
(4) 开启 实时 保护 功能 ， 如 开启 ARP 防火 墙 能 有 效 阻挡 ARP 攻击 ， 如 图 3.16 所 示 


各 
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防护 已 开启 ， 正 在 保护 您 的 系统 安全 


@ 人 入口 央 本 PaRAaanD ,Bia 元 后 防 部 (大 350- 全面 史 护 
上 同安 入 六 四 
Bem | 
Tas - 一 

ii 

@ 隔 高 防御 。 二 =; Er 729 

大 509 广 伯 o 
Em 

(4:) 系统 防御 SR 
i Bima o 
i ER a 


图 3.16 ”开启 实时 保护 功能 
2. 卡巴 斯 基 反 病毒 软件 
卡巴 斯 基 反 病毒 软件 Kaspersky AntiVirus) 简 称 KAV, 本 小 节 介绍 KAV 2012 的 使 用 和 


设置 方法 。 
1) KAV 主 界面 
启动 KAV 2012 后 ， 其 主 界面 如 图 3.17 所 示 。 
2) ”设置 方法 
击 KAV 主 界面 中 的 【设置 】 按 钮 ， 进 入 其 设置 界面 ， 如 图 3.18 所 示 。 
KK 议 扫 
I B A snares 
ee 加 Peer er 
间 | 计 算 机 已 被 保护 = Memo 
保护 组 件 ， 全 部 启用 站 SPERGRiPO 
数据 库 ， 录 新 [EE | 
一 届 Y 授权 许可 ， 制 本 153 天 二 
mney 
© 确定 | 闪 | 8 
图 3.17 KAV 主 界面 图 3.18 ”KAV 设置 界面 


(1) 实时 保护 。 

@ 文件 反 病 毒 。 启 用 文件 反 病毒 ， 对 于 【操作 】 选 项 则 设置 【阻止 访问 】， 那 么 每 
次 检测 到 恶意 代码 就 自动 阻止 ， 对 于 【安全 级 别 】 可 以 选择 默认 级 别 ， 也 可 以 自己 设置 。 
例如 单 击 【 安 全 级 别 】 选 项 组 中 的 【设置 】 按 钮 ， 在 弹出 的 对 话 框 中 选择 【性 能 】 选 项 卡 ， 
选中 【启发 式 分 析 】 复 选 框 ， 拖 动 滑 块 进行 设置 。 考 虑 到 程序 运行 和 文件 的 打开 速度 ， 如 
果 计 算 机 性 能 不 是 很 好 ， 且 需要 非常 全 面 到 位 的 保护 ， 就 可 以 开启 启发 式 分 析 器 ， 甚 至 可 
以 开 到 深度 扫描 ， 如 图 3.19 和 图 3.20 所 示 。 

@ ”邮件 反 病毒 。 对 于 一 般 的 普通 用 户 而 言 ， 可 以 将 【操作 】 设 为 自动 【阻止 访问 】， 
如 图 3.21 所 示 。【 安 全 级 别 】 的 设置 同 “ 文 件 反 病毒 ”。 

@ ”网 页 反 病毒 。 默 认 网 页 反 病毒 功能 是 开启 的 ， 如 图 3.22 所 示 。 


加 | 饭店 ， 文 伯 反 病毒 
实时 保护 反手 所 有 已 打开 、 保 存 和 执行 的 文件 ， 防 止 寺 丰 机 文件 系统 被 愁 溉 . 


而 优 夫 没 旺 启用 文件 反 病 老 卓 


深度 扫 痪 


EE 


团 扫 竹 ouE 内 吉 1 


本 附加 他 。 


9 汪清 除 , 如 果 无 法 清除 刚 副 除 
回潮 Soy = 
加 天才 志 SNSD 帮助 确定 | 取消 


图 3.19 文件 反 病 毒 设置 图 3.20 ”开启 启发 式 分 析 器 


量 台电 启 邮件 反 病 末 六 
~ 日 | 他 电 局 网页 反 病毒 @ 
实时 保护 保护 接收 到 的 网 阁 流量 ,防止 危险 脚本 在 您 的 计算 机 上 运行 。 
全 光 规 设置 回 启用 网 页 反 病 击 (日 


检测 择 收 和 发 涛 的 部 件 中 是 否 存在 恶意 对 急 ， 扫 入 所 有 海 过 POP 
撞 r 的 邮件 信 息 . 


后 局 邮件 反 病 击 蛋 


推荐 
贡 -kt 扩 
-推荐 大 全 数 用 户 全 用 


1 -优化 保护 
四 ”次 和 3 大 多数 用 户 合用 


设置 (5),,， 
[WE 
© rp 
网 渤 撞 济 作 i01 ;| 清除 . 如 果 无 法 洒 除 旭光 | 给 局 所 功 这 择 损 作 山 
加 清除 NI 阻止 下 载 [B) 
加 SD TD 
图 3.21 邮件 反 病 毒 设置 3.22 ”网 页 反 病毒 设置 


图 主动 防御 。 默 认 设置 是 不 错 的 选择 ， 如 图 3.23 所 示 。 如 果 想 更 为 安全 ， 可 以 把 其 
他 选项 都 选 上 ， 所 有 选项 可 以 根据 个 人 的 要 求 来 设置 ， 如 图 3.24 所 示 。 


0 全 
EE EE 
所 设置 3 
让 
[ \ 看 如 团 @@ 过 半 耻 区 的 开动 避 宁 启用 中 
时 | 人 总 向 | +b 门生 夫人 和 红 起 的 为 启用 高 
保护 宅 的 计算 用 不 被 时 新 感动 和 次 ， 基 至 星 对 此 未 存 在 于 反 底 要 同 @ 0: 抱 2 -让 一 国 
闻 @ 守则 E 启用 低 
4 启用 主动 态 利 () 同 @ 兰 Is 二 活 动 启用 低 
A 园 生 售 改 Host 文 件 启用 低 
日 @ 辣 和 信守 证 各 启用 。 全 
团 生生 局 用 。 低 
具有 数字 签名 的 应 用 程序 | 国 评 入 但 到 FF 有 守护 局 用 中 
同 存在 于 卡 已 斯 基 安全 网 络 数 二 二 中 的 去 用 程序 0 | 国人 erm 二 
园 人 @ 半月 会 E 程 床 传 送 可 紧 效 所 启用 中 
回 后 可 疑 的 至 综 行为 启用 低 名 
< 下 
设 证 卡巴 所 基 反 帝 雪 软件 对 拓 定 事件 的 扣 作 - 
ET | 
| 
3.23 主动 防御 设置 1 3.24 ”主动 防御 设置 2 


计算 机 网 络 安 全 技术 国 


(2) 智能 查 杀 。 


@ ”病毒 扫描 选项 的 设置 。 在 【全 盘 扫描 】 的 安全 级 别 设置 中 可 自 定义 开启 启发 式 分 
析 器 中 的 【深度 扫描 】， 其 扫描 更 深入 ， 但 会 占用 更 多 的 系统 资源 ， 如 图 3.25 所 示 。 
@ 扫描 关键 区 域 的 设置 ， 如 图 3.26 所 示 。 


区 关 键 区 域 扫 据 一 
[| Wi | 运 和 模式 ] 
线 设 轩 | -BE 
\ 届 | 全盘 扫 措 设 轩 = 
中 & | 名 向 生 撞 设 | Bre 
智能 查 杀 号 
所 党 坑 设 桔 .WB 既 度 扫 往 中 度 提 病 深度 扫 摘 
a rout 
届 关键 区 域 扫描 
加 自 定 义 扫 次 _- 不 
网 汤 BS 括 六 于 加 回 ISwit 技术 Ww 
昼 ichecker 技 术 四 
人 @ 自动 这 和 温 作 U 
远 扣 提 作 @ : 消除, 如 果 无 去 清 队 于 了 
运行 模式 介 ..。 。 | 手动 
扫 丘 范围 ..。 | 默认 级 别 必 助 确定 取消 | 
图 3.25 全 盘 扫 描 


3.26 ”关键 区 域 扫描 
@ ”可 以 根据 自己 的 需要 进行 【 自 定义 扫描 】 的 设置 ， 如 图 3.27 所 示 。 
的 自 定义 扫描 
El 
根据 格式 扫 扩 文件 


根据 扩展 名 扫 拉 文件 J@ 


回 仅 扫 拱 新 建 和 已 更 改 的 文件 N) 
加 跑 过 扫 次 时间 大 于 设 定 值 的 对 象 g 30 辣 


车 


贺 扫描 所 有 的 压缩 包 [) 

园 扫 摘 所 有 的 安装 包 (O 

贺 扫描 所 有 的 OLE 内 吝 对 象 (MW) 

赎 分 析 电 子 邮 件 格式 中 

园 扫 欣 受 密码 保护 的 压缩 包 吕 
附加 (和 。 


帮助 确定 取消 
图 3.27 自 定义 扫描 
@ 【漏洞 扫描 】 分 为 漏洞 模式 和 扫描 范围 。 漏 洞 扫描 可 以 手动 设置 ， 也 可 以 根据 个 
人 计划 来 设置 。 扫 描 范 围 可 以 自己 根据 需要 来 添加 ， 如 图 3.28 一 图 3.30 所 示 。 
(3) 【高 级 设置 】 中 新 增加 了 许多 人 性 化 的 设置 ， 比 如 省 电 模 式 、 兼 容 性 设置 (配合 卡 


巴 斯 基 杀毒 软件 和 其 他 程序 的 兼容 性 ， 避 免 冲 突 和 降低 性 能 )、 游 戏 模式 等 ， 如 图 3.31 
所 示 。 


所 设置 
图 急电 向 汕 扫 描 设置 
智能 查 杀 计算 机 
Q PM 
夯 2a 后 运行 模式 加. 
入 关键 区 域 和 高 
区 自 证 久 扫 撕 扫 指 范围 (0)..… 
图 3.28 漏洞 扫描 
KK 号 选择 扫 氢 对 旬 
了 工 ， | 
中 湛 加 2 沁 3 我 的 电子 部 件 
已 安装 避 序 人 系统 内 存 
3 记 启动 对 象 
六 下 生 引导 赢 区 
期 系统 备份 存储 区 
介 所 有 可 移动 开盘 
< 所 有 硬盘 这 动 器 
这 所 有 网 洛 拒 动 器 
局 库 
3 wre 
对 象 (0) : CG\Users\zhao\Desktop 
国 本 态 子 文 全 埃 (dj 
et 帮助 确定 


图 3.30 扫描 范围 


3.7.2 网络 防 病毒 方案 


要 夺 入 的 可 作 系统 和 应 用 程序 中 存在 的 港 在 小 洞 , 辽 


手动 


默认 级 别 


添加 (&) 


取消 
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KK 者 同 扫 摘 -一 
运行 模式 | 
手动 

9 各 于 于 到 Bj} 

每 W 5 图 天 

运行 时 间 0 : 0000 

程序 启动 后 延迟 启动 任务 时间 中 : 

15 富 分 钟 

回 运行 路 过 的 任务 9 

加 | 在 涩 活 异 幕 伴 护 程序 或 计算 机 钠 定 时 运行 计划 扫 痪 加 

固 使 用 以 下 帐号 运行 任务 四 

图 3.29 运行 模式 
中 
恒 局 向 威 内 和 排除 设置 
高 级 设置 远 笃 要 检测 89 后 朋 兴 别 ， 为 不 需要 扫 病 的 软件 筷 普 尖 乡 议 则 ,， 
epee 
- 讲 南 、 强 字 、 木 马 和 和 大便 上 
Ns 广告 次 件 和 自动 所 号 但 序 
pga -大 0] 包 入 i 多 后 打 包 的 困 委 
[less 设置 (5) 
要 网关 各 这 - 
©a0 
报告 和 存 信 
规则 :0 (合计 0) 

如 用 户 反馈 网 
a 信任 程序 :1 (合计 1) 
已 BF 设置 (9)，， 
Bassa 


图 3.31 高 级 设置 


病毒 本 身 已 是 令 人 头痛 的 问题 。 但 Internet 开拓 性 的 发 展 ， 给 病毒 成 为 灾难 带 来 可 能 。 
Internet 带 来 了 两 种 不 同 的 安全 威胁 。 一 种 威胁 是 来 自 文件 下 载 。 这 些 被 浏览 的 或 是 通过 ftp 
下 载 的 文件 中 可 能 存在 病毒 ， 而 共享 软件 (Public Shareware) 和 各 种 可 执行 的 文件 ， 如 格式 化 


的 介绍 性 文件 (Formatted Presentation) 已 经 成 为 病毒 传播 的 重要 途径 。 并 且 ，Internet 上 还 出 


DO 


现 了 Java 和 Active XX 形式 的 恶意 小 程序 , 另 一 种 主要 威胁 来 自 于 电子 邮件 。 大 多 数 的 Internet 


邮件 系统 提 人 f 


了 在 网 络 间 传送 附带 格式 化 文档 邮件 的 功能 。 只 要 简单 地 敲 击 键盘 ， 邮 件 就 


可 以 发 给 一 个 或 一 组 收 信人 。 因 此 ， 受 病毒 感染 的 文档 或 文件 就 可 能 通过 网 关 和 邮件 服务 


器 涌 入 企业 网 络 。 试 想 一 下 ， 如 果 病 毒 柳 


Ff 者 得 到 了 一 个 企业 所 有 职员 的 电子 邮件 地 址 ， 
然后 向 所 有 人 发 送 了 一 条 看 起 来 无 害 的 广播 式 信 件 ， 而 在 信件 中 附着 含有 宏 病 毒 的 文档 。 
大 多 数 电子 邮件 系统 自动 接收 了 这 个 文档 ， 而 当 收 信人 打开 这 个 文档 时 ， 宏 病毒 就 会 进入 


计算 机 网 络 安全 技术 四 


到 他 的 计算 机 中 并 感染 其 他 文件 。 

另 一 种 网 络 化 趋势 也 加 重 了 病毒 的 威胁 。 这 种 趋势 是 向 群 件 应 用 程序 发 展 的 ， 如 Lotus 
Notes、IMicrosoft Exchange、Novell Groupwise 和 Netscape Colabra。 由 于 群 件 的 核心 是 在 网 
络 内 共享 文档 ， 这 就 为 宏 病毒 的 发 展 提供 了 丰富 的 基础 。 而 群 件 不 仅仅 是 共享 文档 的 储藏 
室 ， 它 还 提供 合作 功能 ， 能 够 在 相关 工作 组 之 间 同 步 传输 文档 。 这 就 大 大 提高 了 宏 病 毒 传 
播 的 机 会 。 因 此 群 件 系统 的 安全 保护 显得 格外 重要 。 

1) ”复杂 的 多 层次 病毒 防治 

首先 应 该 考虑 在 何 处 安装 病毒 防治 软件 。 在 企业 中 ， 重 要 的 数据 往往 保存 在 位 于 整个 
网 络 中 心 节点 的 文件 服务 器 上 ， 这 也 是 病毒 攻击 的 首要 目标 。 为 保护 这 些 数 据 ， 网 络 管理 
员 必 须 在 网 络 的 多 个 层次 上 设置 全 面 有 效 的 多 层 保护 措施 ， 且 必须 具备 4 个 特性 。Q@ 集 成 
性 。 所 有 保护 措施 必须 在 逻辑 上 是 统一 的 和 相互 配合 的 。@ 单 点 管理 。 作 为 一 个 集成 的 解 
决 方 案 ， 最 基本 的 一 条 是 必须 有 一 个 安全 管理 的 聚焦 点 。@ 自 动 化 。 系 统 需 要 有 能 力 自 动 
更 新 病毒 特征 码 数据 库 和 其 他 相关 信息 。@ 多 层 分 布 。 这 个 解决 方案 应 该 是 多 层次 的 ， 适 
当 的 防毒 软件 在 适当 的 位 置 分 发 出 去 ， 最 大 限度 地 发 挥 作用 ， 而 又 不 会 增加 网 络 负担 。 防 
毒 软件 应 该 安装 在 服务 器 工作 站 和 邮件 系统 上 。 

2) ”网 关 和 防火 墙 

有 人 建议 在 网 关上 安装 防 病毒 软件 ， 这 样 可 以 阻止 任何 病毒 进入 企业 网 络 ， 但 这 种 做 
法 严重 影响 网 络 性 能 。 设 置 网 关 和 路 由 器 的 目的 是 要 读 取 数 据 帧 或 数据 包 的 头 信息 ， 以 便 
将 数据 帧 或 数据 包 尽 快 送 往 其 目的 地 。 如 果 在 网 关 或 路 由 器 处 检查 病毒 ， 就 需要 扫描 所 有 
接收 到 的 数据 帧 ， 将 它们 重组 起 来 并 临时 存放 ， 以 便 进行 病毒 扫描 。 这 与 网 关 的 设计 初 吏 
是 完全 相 违 背 的 ， 这 将 使 得 网 关 或 路 由 器 的 性 能 急剧 降低 ， 在 文件 进出 网 络 时 造成 严重 的 
“瓶颈 ”现象 。 

3) ”工作 站 

工作 站 是 病毒 进入 网 络 的 主要 途径 ， 所 以 应 该 在 工作 站 上 安装 防 病毒 软件 。 这 种 做 法 
是 比较 合理 的 。 因 为 病毒 扫描 的 任务 是 由 网 络 上 所 有 工作 站 共同 承担 的 ， 这 使 得 每 台 工作 
站 承担 的 任务 都 很 轻松 ， 如 果 每 台 工作 站 都 安装 最 新 防毒 软件 ， 这 样 就 可 以 在 工作 站 的 日 
常 工作 中 加 入 病毒 扫描 的 任务 ， 其 性 能 可 能 会 有 少许 下 降 ， 但 无 须 增添 新 的 设备 。 虽 然 目 
前 许多 病毒 是 通过 Internet 文件 下 载 和 电子 邮件 文件 附着 传播 的 , 但 最 主要 的 传播 途径 还 是 
由 外 界 带 来 的 软盘 ， 因 此 在 工作 站 上 实施 实时 软盘 扫描 是 十 分 必要 的 ， 它 可 以 使 病毒 感染 
的 机 会 降 至 最 少 。 当 然 ， 在 工作 站 上 安装 的 防 病毒 软件 应 很 好 地 融合 于 系统 ， 便 于 统一 更 
新 和 自动 运行 ， 以 免 给 用 户 造成 不 便 。 

4) ”邮件 服务 器 

〖 件 服务 器 是 防 病毒 软件 的 第 二 个 着 眼 点 。 邮 件 是 主要 的 病毒 来 源 。 邮 件 在 发 往 其 目 
的 地 前 ， 首 先进 入 邮件 服务 器 并 被 存放 在 邮箱 内 ， 所 以 在 这 里 安装 防 病毒 软件 是 十 分 有 效 
的 。 假 设 工作 站 与 邮件 服务 器 的 数量 比 是 100 : 1， 那 么 这 种 做 法 显而易见 能 节省 费用 。 但 
是 ， 这 还 不 是 防止 病毒 进入 的 全 部 途径 。 由 于 有 的 工作 站 通过 单独 的 调制 解 调 器 或 直接 连 
接 网 络 中 的 其 他 工作 站 ， 闪光 和 久 信 的 0 不由 信服 各、 此 ， 必 须 注意 病毒 可 
能 进入 网 络 的 所 有 其 他 途径 。 
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5) 备份 服务 器 


备份 服务 器 是 用 来 保存 重要 数据 的 。 如 果 备 份 服务 器 也 月 演 了 ， 那 么 整个 系统 也 就 彻 
底 瘫 痪 了 。 备 份 服务 器 中 受 破坏 的 文件 将 不 能 被 重新 恢复 使 用 ， 甚 至 会 反 过 来 感染 系统 。 
但 是 ， 防 病毒 软件 与 备份 软件 间 存 在 一 个 很 少 被 注意 的 冲突 。 备 份 软件 在 日 常 运行 中 ， 需 
要 多 次 打开 同一 个 文件 ， 这 就 迫使 防 病毒 软件 多 次 检查 同一 个 文件 。 如 果 一 个 大 型 的 备份 
系统 在 晚间 备份 工作 中 需要 备份 50 000 文件 ， 那 么 防 病毒 软件 就 可 能 需要 作 150 000 次 的 


文件 检查 ， 这 将 极 大 降低 备份 效率 。 而 更 为 复杂 的 是 ， 当 病毒 被 发 现时 ， 备 份 了 


[ 作 就 必须 


停 下 来 直到 病毒 被 清除 。 这 样 晚间 的 备份 工作 有 可 能 得 等 到 第 二 天 才能 完成 。 避 免 备份 服 
务 器 被 病毒 感染 是 保护 网 络 安全 的 重要 组 成 部 分 ， 因 此 好 的 防 病毒 软件 必须 能 够 解决 这 个 


冲突 ， 它 能 与 备份 系统 相配 合 ， 提 供 无 病毒 的 实时 备份 和 恢复 。 
6) ”Internet 服务 器 和 文件 服务 器 


网 络 中 任何 存放 文件 和 数据 库 的 地 方 都 可 能 出 问题 ， 因 此 需要 保护 好 这 些 地 方 。 文 件 
服务 器 中 存放 的 是 企业 重要 的 数据 ， 在 Internet 服务 器 上 安装 防 病毒 软件 是 头等 
证 上 传 和 下 载 的 文件 中 不 带 有 病毒 ， 对 用 户 和 用 户 客户 的 网 络 安全 都 是 非常 重要 的 。 


3.7.3 Symantec 校园 网 防 病毒 案例 


要 的 , 保 


在 学 校 网 络 中 感染 和 传播 病毒 的 途径 主要 有 以 下 几 种 方式 。QD 在 局 域 网 内 部 。 通 过 软 
盘 、 盗 版 光盘 可 能 感染 病毒 ， 同 时 在 局 域 网 内 部 传播 。@ 在 局 域 网 外 部 。 从 Internet 上 ， 通 
过 E-mail 的 形式 把 病毒 带 入 内 部 网 络 ， 同 时 内 部 人 员 上 网 和 下 载 文件 也 可 能 通过 http、ftp 


流量 把 病毒 和 恶意 的 移动 代码 带 入 内 部 网 络 。 


播 病毒 的 地 方 都 采取 相应 的 防 病毒 手段 ， 也 就 是 说 ， 应 针对 外 网 和 内 网 两 个 方 厂 


虑 防 病毒 措施 。 具 体 主要 从 以 下 三 个 方面 考虑 。 


此 ， 在 校园 的 网 络 防 病毒 方案 中 ， 我 们 应 该 考虑 在 整个 网 络 中 只 要 有 可 能 感染 和 传 


的 问题 考 


(1) 在 网 关 一 级 主要 考虑 对 电子 邮件 、 网 上 收发 邮件 以 及 进入 和 送出 的 http 和 ftp 流量 


为 病 毒 防护 。 邮件 系统 采用 Netscape Massager Server, 防火 墙 采 用 Check Point Firewall 14.0， 
此 我 们 可 以 在 防火 墙 一 级 安装 赛 门 铁 克 (Symantec) 的 Norton Anti Virus for Firewall 对 出 


入 防火 墙 的 http、ftp 流量 进行 病毒 查 杀 ， 把 http、ftp 中 携带 的 病毒 阻隔 在 局 域 网 之 外 。 在 
邮件 服务 器 一 级 中 , 采用 赛 门 铁 克 (Symantec) 的 Norton Anti Virus for Gate Way, 对 过 往 邮件 


服务 器 的 所 有 邮件 进行 防 病毒 扫描 ， 把 邮件 中 携带 的 病毒 阻隔 在 局 域 网 之 外 。 
(2) 在 服务 器 系统 的 防 病毒 保护 上 ， 根 据 学 校内 联网 的 具体 情况 ， 我 们 3 


文件 等 免 受 病毒 的 感染 。 


要 考虑 针对 
Windows 和 NetWare 服务 器 的 防 病毒 保护 , 安装 Norton Anti Virus for Windows NT 和 Norton 
Anti Virus for Netware， 保 护 系 统 、 磁 盘 、 可 移动 磁盘 、 光 盘 以 及 调制 解 调 器 连接 所 收发 的 


(3) 在 客户 端 一 级 ， 根 据 学 校 的 具体 情况 和 客户 端的 操作 系统 类 型 ， 安 装 Windows 操 
作 系统 ， 实 现 对 系统 、 磁 盘 、 可 移动 磁盘 、 光 盘 以 及 调制 解 调 器 连接 所 收发 文件 的 病毒 


防护 。 


根据 学 校 的 网 络 结构 和 有 具体 要 求 ， 在 整个 网 络 防 病毒 管理 方面 ， 我 们 建议 采取 相对 集 
中 和 分 布 式 管理 的 方式 ， 也 就 是 说 ， 在 整个 学 校内 联网 络 中 建立 分 级 管理 机 制 ， 采 用 分 布 
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式 管 理 和 集中 管理 相 结合 的 管理 模式 ， 同 时 采用 统一 的 防 病毒 策略 和 防 病毒 管理 制度 。 学 
校 可 以 根据 具体 情况 ， 分 组 设置 防 病毒 管理 模式 ， 实 现 灵活 的 、 高 效 的 、 集 中 式 的 管理 ， 
如 图 3.32 所 示 。 

一 方面 可 以 让 学 校 的 SSC 系统 管理 中 心 各 自 到 赛 门 铁 克 网 站 更 新 、 升 级 病毒 定义 码 入 
扫描 引擎 。 这 种 方式 ( 见 图 3.3) 有 个 明显 的 缺点 是 : 如 果 各 部 门 重复 下 载 相同 的 病毒 定义 码 
和 扫描 引擎 ， 会 浪费 广域网 网 络 带宽 ， 同 时 网 络 防 病毒 的 能 力 会 受 各 部 门 管理 员 水 平 、 工 
作 态 度 和 防 病毒 意识 等 各 方面 因素 的 影响 ， 不 易于 确保 各 部 门 在 任何 时 刻 都 具有 最 强 的 防 
病毒 能 力 。 如 图 3.33 所 示 。 


半 Wb 


网 络 连接 OES 


安全 模块 


图 3.32 管理 方式 
另 一 方面 可 以 由 总 部 统一 进行 病毒 定义 码 和 扫描 引擎 的 更 新 、 升 级 。 也 就 是 说 ， 总 部 


的 SSC 有 权限 管理 各 部 门 的 一 级 服务 器 (而 且 只 管理 其 一 级 服务 器 )， 同 时 总 部 的 防 病毒 一 
级 服务 器 可 以 定期 地 、 自 动 到 Symantec 网 站 上 更 新 最 新 的 病毒 定义 码 和 扫描 引擎 ， 各 部 门 
的 一 级 服务 器 到 总 部 的 防 病毒 一 级 服务 器 (对 各 部 门 来 说 是 主 一 级 服务 器 ) 进 行 病毒 定义 码 
和 扫描 引擎 的 更 新 、 升 级 。 我 们 建议 采用 这 种 升级 方式 ， 这 样 ， 一 方面 可 以 确保 总 部 和 其 
他 分 部 门 的 病毒 定义 码 和 扫描 引擎 的 更 新 基本 保持 同步 ， 使 整个 学 校内 联网 都 具有 最 强 的 
防 病毒 能 力 。 另 一 方面 ， 整 个 网 络 的 病毒 定义 码 和 扫描 引擎 的 更 新 、 升 级 自动 完成 ， 就 可 
以 避免 由 于 人 为 因素 造成 网 络 中 某 些 机 器 或 某 个 网 络 因为 没有 及 时 更 新 最 新 的 病毒 定义 码 
和 扫描 引擎 而 失去 最 强 的 防 病毒 能 力 。 
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图 3.33 Symantec 校园 网 防 病毒 解决 方案 


3.7.4 选择 防 病毒 软件 的 标准 


下 面 将 以 扫描 型 防 病毒 软件 为 例 ， 告 诉 你 如 何 通 过 比较 选 购 一 个 满意 的 防毒 软件 。 对 
于 一 个 扫描 型 的 防毒 软件 ， 需 要 注意 的 项 目 包括 扫描 速度 、 正 确 识别 率 、 误 报 率 、 技 术 支 
持 水 平 、 升 级 的 难 易 度 、 可 管理 性 、 警 示 手 段 等 。 


1. 扫描 速度 


首先 应 该 将 待 测 PC 从 网 络 中 断 开 ， 网 络 会 使 得 工作 站 中 的 程序 运行 速度 变 慢 。 不 要 在 
Windows 的 DOS 窗口 中 运行 扫描 程序 ， 也 不 要 运行 诸如 Desqview 一 类 的 多 任务 程序 。 
测试 用 的 计算 机 应 保证 未 被 病毒 感染 ， 因 为 大 多 数 的 扫描 程序 在 遇 到 病毒 后 都 会 降低 扫描 
速度 以 提高 正确 识别 率 ， 但 用 户 并 非 每 天 都 会 遇 到 病毒 ， 在 99.99% 的 时 间 中 用 户 都 会 在 一 
台 干 净 的 计算 机 上 运行 扫描 程序 ， 所 以 这 代表 了 大 多 数 的 情况 。 不 同 的 扫描 选项 会 导致 不 
同 的 扫描 时 间 ， 如 果 有 多 个 扫描 程序 参加 评估 ， 应 该 都 使 用 其 默认 设置 来 进行 扫描 测试 ， 
方 可 进行 比较 。 

如 果 使 用 一 台 标 准 的 Windows 7 计算 机 ，32 位 系统 最 低 配置 要 求 处 理 器 主 频 1GHZ， 
内 存 1GB， 显 卡 显存 1GB，McAfee 公司 的 杀毒 软件 McAfee VirusScan Plus v9.11 的 扫描 速 
度 就 十 分 让 人 满意 。 

2. 识别 率 


使 用 一 定数 量 的 病毒 样本 进行 测试 ， 正 规 的 测试 数量 应 该 在 10 000 种 以 上 ， 如 果 测 试 
鸭 是 变形 病毒 ， 则 每 种 病毒 的 变种 数量 应 在 200 种 以 上 ， 否 则 将 无 法 断定 到 底 哪个 防 病毒 
软件 识别 率 更 高 。 大 多 数 著 名 的 防 病毒 实验 室 都 备 有 病毒 样本 库 以 供 测试 使 用 。 在 测试 过 
程 中 ， 让 防 病毒 程序 产生 有 关 记录 文 件 ， 详 细 记 录 扫 描 程序 所 发 现 的 病毒 以 及 确认 没有 感 
染病 毒 的 文件 ， 因 为 在 测试 中 扫描 程序 所 漏 检 的 病毒 与 查找 出 的 病毒 同等 重要 。 
如 果 同 一 种 防 病毒 软件 中 的 扫描 程序 有 访问 型 (on-access) 和 需求 型 (on-demand) 两 种 , 则 
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需要 分 别 进行 测试 ， 因 为 有 的 时 候 这 两 种 扫描 程序 的 识别 率 会 相差 很 远 。 
病毒 清除 测试 


防 病毒 软件 的 最 终 目 的 不 是 阻止 病毒 的 传播 ， 而 是 要 保证 工作 的 连续 性 ， 也 许 恢 复 备 
份 数据 能 够 干净 地 清除 病毒 ， 但 这 将 导致 工作 的 中 断 。 所 以 ， 可 靠 、 有 效 地 清除 病毒 并 
证 数据 的 完整 性 ， 是 一 件 非常 必要 和 复杂 的 工作 。 

对 于 可 执行 文件 ， 不 必要 求 清除 后 的 文件 与 正常 文件 完全 一 样 ， 只 要 可 以 正常 、 正 
地 运行 即 可 。 对 于 含有 宏 病 毒 的 文档 文件 ， 则 要 求 角 够 将 其 中 有 害 的 宏 清除 ， 并 保留 正 
的 宏 语 句 。 对 于 引导 型 病毒 ， 不 要 求 遭 受 其 害 的 软盘 能 够 恢复 引导 功能 ， 而 对 于 遭受 其 
的 硬盘 ， 则 要 求 能 够 恢复 到 感染 病毒 之 前 的 引导 过 程 ， 否 则 这 种 病毒 清除 不 能 算是 成 功 的 。 
对 于 变形 病毒 ， 则 要 求 对 已 广泛 流行 的 病毒 变种 进行 清除 测试 ， 优 秀 的 防 病毒 软件 应 该 不 
仅 能 够 正确 识别 已 有 的 病毒 变种 ， 同 时 也 应 该 能 够 恢复 至 正常 的 文件 。 对 于 变形 病毒 的 测 
试 是 对 防 病毒 软件 研究 质量 和 开发 人 员 技术 水 平 的 最 好 评估 。 


虹 强 宫 庆 


“人 3.8” 回 到 工作 场景 


计算 机 病毒 大 多 以 盗 取 或 毁坏 个 人 资料 、 信 息 甚至 以 隐私 为 目的 ， 使 网 络 用 户 的 信息 
和 财产 安全 受到 了 很 大 的 威胁 。 如 果 你 的 计算 机 出 现 了 3.6.1 小 节 所 描述 的 异常 现象 ， 那 么 
它 可 能 不 幸 真 的 中 毒 了 。 

我 们 可 以 用 360 软件 进行 杀毒 。 

首先 ， 打 开 360 杀毒 软件 的 【病毒 查 杀 】 选 项 卡 ， 如 图 3.34 所 示 。 开 启 实时 保护 功能 ， 
如 图 3.16 所 示 。 
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图 3.34 ”360 病毒 查 杀 
接着 用 360 安全 卫士 【清理 插件 】 选 项 卡 清除 恶 评 或 多 余 无 效 的 插件 ， 用 【系统 修复 】 


选项 卡 修复 异常 的 上 网 设置 及 系统 设置 ， 让 系统 恢复 正常 ， 用 【电脑 清除 】 选 项 卡 清除 计 
算 机 中 的 垃圾 和 痕迹 ， 如 图 3.35 一 图 3.37 所 示 。 
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“3.9 工作 实 训 


亚 


3.9.1 训练 实例 


1. QQ 病毒 的 清除 查 杀 方法 

第 一 步 : 选择 【开始 】 一 【运行 】 命 令 , 输入 cmd， 单 击 【确定 】 按 钮 后 ， 即 可 打开 
【命令 提示 符 】 窗 口 。 

第 二 步 : 输入 “ftype exefile =notepad.exe%1”， 意 思 是 将 所 有 .exe 文件 用 “记事 本 ” 打 
开 ， 这 样 ， 原 来 的 病毒 就 无 法 启动 了 。 

第 三 步 : 重启 计算 机 ， 会 看 见 打 开 了 许多 “记事 本 ”， 当 然 这 其 中 不 仅 有 病毒 文件 ， 
还 有 一 些 原来 的 系统 文件 ， 比 如 输入 法 程序 。 

第 四 步 : 右 击 任 一 文件 ， 选 择 【 打 开 方 式 】 选 项 ， 然 后 单 击 【 浏 览 】 按 钮 ， 转 到 
windowNsystem32 下 ， 选 择 cmd.exe， 这 样 就 可 以 再 次 打开 【命令 提示 符 】 窗 口 。 

第 五 步 : 运行 ftype exefile =“%1”“%*”， 将 所 有 .exe 文件 关联 还 原 ， 现 在 运行 杀毒 
软件 或 直接 改 回 注册 表 ， 就 可 以 杀 掉 病毒 了 。 

第 六 步 : 在 每 一 个 “记事 本 ”里 ， 选 择 【 文 件 】 一 【另存 为 】 命 令 ， 就 可 以 看 到 路 径 

除 


建议 将 这 些 文件 改名 并 记 下 ， 重 启 后 ， 如 果 没 有 病毒 “作怪 ”， 也 没有 系统 问题 ， 再 进行 
删除 。 

2. Worm.Win32.AutoRund 病毒 的 简单 解决 方法 

Worm.Win32.AutoRund 貌似 没什么 危害 ， 但 该 病毒 发 作 时 会 查找 磁盘 可 用 的 共享 ， 并 
开启 监视 自身 文件 和 注册 表 项 。 解决 方 法 如 下 所 示 。 

第 一 步 : 打开 任务 管理 器 ， 结 束 Zip.doc.exe 进程 。 

第 二 步 : 设置 系统 ， 显 示 所 有 隐藏 的 文件 夹 ， 删 除 下 面 的 文件 。 


C:\\Windows\Task.exe 
C:\\Windows\svchost .exe 


另外 ， 删 除 每 个 磁盘 下 的 Zip.doc.exe 和 Autorun.inf 文件 。 
第 三 步 : 打开 如 下 注册 表 。 


Hkey_Local Machine\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 


删除 svcHost 键 ， 指 向 C:\Windows\svchost.exe。 


3.9.2 工作 实践 常见 问题 解析 


(1) 为 什么 有 些 病毒 只 能 隔离 而 不 能 清除 ? 
答 : 所 谓 杀 病 毒 ， 就 防毒 软件 而 言 有 两 种 情况 。 一 种 是 将 病毒 程序 代码 由 感染 的 档案 
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中 移 除 ， 这 就 是 所 谓 清除 。 另 一 种 是 将 整个 病毒 档案 删除 ， 这 种 情况 特别 容易 发 生 在 特 洛 
伊 木马 、 蠕 虫 之 类 的 病毒 ， 这 种 状况 就 是 采取 的 隔离 措施 。 

(2) 对 于 病毒 清除 后 的 残余 文件 ， 是 否 会 随 着 病毒 清除 后 自动 删除 ? 

答 : 不 会 。 有 些 病毒 或 是 木马 后 门 之 类 的 恶意 程序 会 在 系统 中 写 入 一 些 文件 ， 用 以 记 
录 自 身 运行 时 的 一 些 状态 或 是 记录 从 系统 中 取得 的 数据 。 这 些 文件 由 于 是 用 于 记录 数据 ， 
与 通常 的 纯 数 据 文件 并 没有 什么 差别 ， 其 本 身 并 不 具备 执行 的 能 力 ， 因 此 并 不 会 被 检测 到 ， 
相应 的 该 文件 也 不 会 被 采取 一 些 自动 的 措施 进行 处 理 。 

(3) 为 什么 有 时 候 其 他 软件 认为 一 个 文件 是 病毒 ， 而 趋势 科技 (杀毒 软件 ) 却 认为 不 是 
病毒 ? 

答 : 各 防 病毒 厂商 在 对 病毒 的 认定 标准 上 存在 一 些 细小 的 差异 ， 导 致 某 些 文件 被 某 些 
厂商 检测 而 不 被 其 他 一 些 厂商 检测 的 结果 。 举 例 来 说 ， 如 果 一 个 程序 在 执行 时 需要 客户 认 
可 其 最 终 用 户 许 可 协议 ， 趋 势 科技 即 不 将 其 检测 为 病毒 ， 而 其 他 厂家 则 可 能 会 检测 该 程序 
为 病毒 。 

(4) 病毒 发 作 有 的 是 有 周期 的 ， 是 否 本 机 时 间 改 掉 就 可 以 了 ? 

答 : 修改 系统 时 间 确 实 可 以 阻止 一 些 周期 性 发 作 的 病毒 的 发 作 ， 但 并 不 是 绝对 可 行 。 
有 些 病 毒 由 于 其 触发 机 制 的 复杂 性 ， 修 改 系统 时 间 并 不 能 完全 阻止 其 发 作 。 


< 本章 习题 
一 、 选 择 题 
1. 计算 机 病毒 的 最 基本 特征 是 (  )。 
A. 隐蔽 性 B. 潜伏 性 C. 破坏 性 D. 传染 性 
2. 以 下 ( ”) 不 是 杀毒 软件 。 
A. KV3000 B. 瑞星 C. Norton AntiVirus & D.PCTools 


3. 下 列 叙述 中 正确 的 是 ( 。 )。 

A. 计算 机 病毒 只 感染 可 执行 文件 

B. 计算 机 病毒 只 感染 文本 文件 

C. 计算 机 病毒 只 能 通过 软件 复制 的 方式 进行 传播 

D. 计算 机 病毒 可 以 通过 读 写 磁盘 或 网 络 等 方式 进行 传播 
二 、 思 考题 


1. 什么 是 计算 机 病毒 ? 

2. 常见 计算 机 病毒 的 种 类 有 哪些 ? 
3. 计算 机 病毒 有 哪些 特点 ? 

4. 常用 的 单机 防毒 软件 有 哪些 ? 


舍 本章 要 点 


本 章 主 要 学 习 数据 加 密 技 术 ， 要 点 如 下 。 
国 。 了解 数据 加 密 技 术 的 基本 知识 。 
国 熟悉 常用 的 数据 加 密 算 法 。 


国 。 了 解 开源 的 加 密 软件 TrueCrypt。 
国 ”基本 掌握 加 密 软件 TrueCrypt 的 设置 方 注 
国学 会 使 用 Truecrypt。 
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4.1 工作 场景 导入 


每 个 人 都 有 不 想 被 别人 看 到 的 文件 ， 也 许 是 你 的 日 记 ， 也 许 是 你 的 公司 绝密 文件 ， 也 
许 是 你 的 私人 照片 ， 也 许 是 一 些 乱 七 八 糟 的 影片 …… 这 些 都 是 你 的 隐私 。 应 选择 一 款 合适 
的 加 密 软件 来 保护 你 的 隐私 ， 这 款 软件 需要 满足 下 列 条 件 。 

(1) 不 让 其 他 人 非法 打开 。 

(2) 自己 能 足够 方便 地 打开 。 

(3) 不 会 出 现 自己 也 打 不 开 的 情况 。 

引导 问题 : 怎样 设置 才能 满足 上 面 的 条 件 ? 
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4.2.1 密码 学 的 概念 


(1) 发 送 者 和 接收 者 。 假 设 发 送 者 想 发 送 消息 给 接收 者 ， 并 且 想 安全 地 发 送信 息 ， 并 
想 确认 偷 听 者 不 能 阅读 发 送 的 消息 。 

(2) 消息 和 加 密 。 消 息 被 称 为 明文 。 用 某 种 方法 伪装 消息 以 隐藏 其 内 容 的 过 程 称 为 加 
密 ， 加 密 的 消息 称 为 密 文 ， 而 把 密 文 转变 为 明文 的 过 程 称 为 解密 。 

明文 用 M( 消 息 ) 或 P( 明 文 ) 表 示 ， 它 可 能 是 比特 流 ( 文 本 文件 、 位 图 、 数 字 化 的 语音 流 或 
数字 化 的 视频 图 像 )。 至 于 涉及 计算 机 ，P 是 简单 的 二 进 制 数据 。 明 文 可 被 传送 或 存储 ， 无 
论 哪 种 情况 ，M 指 代 加 密 的 消息 。 密 文 用 C 表示 ， 它 也 是 二 进 制 数据 ， 有 时 和 M 一 样 大 ， 
有 时 稍 大 (通过 压缩 和 加 密 的 结合 , C 有 可 能 比 P 小 些 。 然而, 单单 加 密 通常 达 不 到 这 一 点 )。 
加 密 函 数 E 作用 于 M 得 到 密 文 C, 用 数学 表示 为 : E(M)=C。 相 反 地 , 解密 函数 D 作用 于 C 
产生 M， 其 数学 表示 为 D(C)=M。 先 加 密 后 再 解密 消息 ， 原 始 的 明文 将 被 恢复 出 来 ,下 面 的 
等 式 必须 成 立 :，D(E(M))=M。 
(3) 除了 提供 机 密 性 外 ， 密 码 学 通常 有 其 他 的 作用 ， 如 鉴别 、 完 整 性 检验 和 抗 抵赖 。 
鉴别 : 消息 的 接收 者 应 该 能 够 确认 消息 的 来 源 ， 入 侵 者 不 可 能 伪装 成 他 人 。 
完整 性 检验 : 消息 的 接收 者 应 该 能 够 验证 在 传送 过 程 中 消息 没有 被 修改 ， 入 侵 者 不 可 
用 假 消息 代替 合法 消息 。 
抗 抵赖 : 发 送 者 事后 不 可 能 虚假 地 否认 他 发 送 的 消息 。 
(4) 算法 和 密 钥 。 密 码 算法 也 叫 密码 ， 是 用 于 加 密 和 解密 的 数学 函数 。( 通 常情 况 下 ， 
有 了 两 个 相关 的 函数 : 一 个 用 作 加 密 ; 另 一 个 用 作 解 密 ) 

如 果 算 法 的 保密 性 是 基于 保持 算法 的 秘密 ， 这 种 算法 称 为 受 限 制 的 算法 。 受 限制 的 算 
法 在 历史 上 很 早 就 有 使 用 ， 但 按 现在 的 标准 ， 它 们 的 保密 性 已 远 远 不 够 。 而 经 常 变换 用 户 
的 组 织 是 不 能 使 用 它们 的 ， 因 为 每 有 一 个 用 户 离开 这 个 组 织 ， 其 他 用 户 就 必须 改换 另外 不 
同 的 算法 。 如 果 有 人 无 意 暴 露 了 这 个 秘密 ， 所 有 人 都 必须 改变 他 们 的 算法 。 


HH 


mp 
EK 
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更 糟 的 是 ， 受 限制 的 密码 算法 不 可 能 进行 质量 控制 或 标准 化 。 每 个 用 户 组 织 必须 有 他 


们 自己 唯一 的 算法 。 这 样 的 组 织 不 可 能 采用 流行 的 硬件 或 软件 产品 。 但 窃听 者 却 避 
这 些 流行 产品 并 学 习 算 法 ， 于 是 用 户 不 得 不 自己 编写 算法 并 予以 实现 ， 如 果 这 个 组 织 中 没 


有 好 的 密码 学 家 ， 那 么 他 们 就 无 法 知道 他 们 是 否 拥有 安全 的 算法 。 
尽管 有 这 些 主要 缺陷 ， 受 限制 的 算法 对 低 密级 的 应 用 来 说 还 是 很 流行 的 ，/ 


有 认识 到 或 者 不 在 乎 他 们 系统 中 内 在 的 问题 。 
现代 密码 学 用 密 钥 解决 了 这 个 问题 ， 密 钥 用 K 表示 。K 
密 钥 K 的 可 能 值 的 范围 叫 作 密 钥 空间 。 加 密 和 解密 运算 都 使 
钥 ， 并 用 作为 下 标 表示 )， 这 样 ， 加 /解密 函数 现在 变 成 : 
Ex(M)=C 
Dx(CO=M 
这 些 函 数 具 有 下 面 的 特性 : Dxk(Ex(M))=M。 


[以 买 到 


户 或 者 没 


可 以 是 很 多 数值 里 的 任意 值 。 


用 这 个 密 钥 ( 即 运算 都 依赖 于 密 


有 些 算 法 使 用 不 同 的 加 密 密 钥 和 解密 密 钥 , 也 就 是 说 加 密 密 钥 Ki 与 相应 的 解密 密 钥 K2 


信 


不 同 ， 在 这 种 情况 下 : 
Eu (M)=C 
Du (CI= M 
Due (Eu (M))=M 


所 有 这 些 算 法 的 安全 性 都 基于 密 钥 的 安全 性 ， 而 不 是 基于 算法 的 细节 的 安全 性 。 这 就 
意味 着 算法 可 以 公开 ， 也 可 以 被 分 析 ， 可 以 大 量 生产 使 用 算法 的 产品 ， 即 使 偷 听 者 知道 你 
的 算法 也 没有 关系 ， 如 果 他 不 知道 你 使 用 的 具体 密 铀 ， 他 就 不 可 能 阅读 你 的 消息 。 


密码 系统 由 算法 、 所 有 可 能 的 明文 、 密 文 和 密 钥 组 成。 
4.2.2 ”密码 学 发 展 的 三 个 阶段 


1) 古典 密码 


世界 上 最 早 的 一 种 密码 产生 于 公元 前 2 世纪 ， 是 由 一 位 希腊 人 提出 的 ， 人 们 称 之 为 棋 
盘 密 码 ， 如 表 4.1 所 示 ， 原 因为 该 密码 将 26 个 字母 放 在 5x5 的 方 格 里 ，i、j 放 在 一 个 格子 
里 ， 这 样 ， 每 个 字母 就 对 应 了 由 两 个 数 构成 的 字符 a、B，a 是 该 字母 所 在 行 的 标号 ，B 是 列 


标号 。 如 c 对 应 13，s 对 应 43 等 。 如 果 接收 到 密 文 为 
43 15 13 45 42 15 32 15 43 43 11 22 15 
则 对 应 的 明文 即 为 secure message。 
表 4.1 棋盘 密码 
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古典 密码 的 发 展 有 着 悠久 的 历史 。 尽 管 这 些 密码 大 都 比较 简 间 
考 价 值 。 

2) 近代 密码 

1834 年 ， 伦 敦 大 家 的 实验 物理 学 教授 惠 斯 顿 发 明了 电机 ， ee 电气 化 
跃进 的 开始 ， 也 为 密码 通信 能 够 采用 在 线 加 密 技术 提供 了 前 提 条 件 。 前 面 已 经 讲 过 ， 密 码 
技术 的 成 果 首 先 被 用 于 战争 ， 下 面 的 例子 就 是 一 个 明证 。1914 年 ， 第 一 大大 全 人 
德 俄 相互 宣战 。 在 交战 过 程 中 ， 德 军 破译 了 俄 军 第 一 军 给 第 二 军 的 电文 ， 从 中 得 知 ， 第 一 
军 的 给 养 已 经 中 断 。 根 据 这 一 重要 情报 ， 德 军 在 这 次 战役 中 取得 了 全 胜 。 这 说 明 当时 交战 
双方 已 开展 了 密码 战 ， 也 说 明 战 争 刺激 了 密码 的 发 展 。 

3) ”现代 密码 

1920 年 ， 美 国电 报 电话 公司 的 弗 纳 姆 发 明了 弗 纳 姆 密码 。 其 原理 是 利用 电 传 打字 机 的 
五 单位 码 与 密 钥 字母 进行 模 2 相 加 。 如 若 信息 码 (明文 ) 为 11010， 密 钥 码 为 11101， 则 模 相 
加 得 00111 即 为 密 文 码 。 接 收 时 ， 将 密 文 码 再 与 密 钥 码 模 相 加 得 信息 码 (明文 )11010。 这 种 
密码 结构 在 今天 看 起 来 非常 简单 ， 但 由 于 这 种 密码 体制 第 一 次 使 加 密 由 原来 的 手工 操作 进 
入 到 由 电子 电路 来 实现 ， 而 且 加 密 和 解密 可 以 直接 由 机 器 来 实现 ， 因 而 在 近代 密码 学 发 展 
史上 占有 重要 地 位 。 随 后 ， 美 国人 摩 波 卡 金 在 这 种 密码 的 基础 上 设计 出 一 种 一 次 一 密 加 密 
方式 。 该 体制 当 通 信 业 务 很 大 时 ， 所 需 的 密 钥 量 太 过 庞大 ， 给 实际 应 用 带 来 很 多 困难 。 之 
后 ， 这 种 一 次 一 密 体 制 又 有 了 进一步 改进 ， 但 历史 事实 证 明 ， 这 种 密码 体制 是 不 安全 的 ， 
在 太平 洋 战 争 中 ， 日 本 使 用 的 九 七 式 机 械 密码 就 属于 这 一 种 。1940 年 ， 美 国 陆军 通信 机 关 
破译 了 这 种 密码 。 在 1943 年 4 月 的 中 途 岛 海战 中 ， 日 军 的 密码 电报 被 美国 截获 破译 ， 日 本 
海军 大 将 山本 五 十 六 所 乘 飞机 被 美 飞机 被 美军 击落 ， 山 本 五 十 六 死亡 。 

由 于 受 历史 的 局 限 ，20 世纪 70 年 代 中 期 以 前 的 密码 学 研究 基本 上 是 秘密 地 进行 , 而 且 
主要 应 用 于 军事 和 政府 部 门 。 密 码 学 的 真正 蓬勃 发 展 和 广泛 应 用 是 从 70 年 代 中 期 开始 的 。 
1977 年 ， 美 国 国家 标准 局 颁布 了 数据 加 密 标准 DES 用 于 非 国家 保密 机 关 。 该 系统 完全 公 
了 加 密 、 解 密 算法 。 此 举 突破 了 早期 密码 学 的 信息 保密 的 单一 目的 ， 使 得 密码 学 得 以 在 商 
业 等 民用 领域 的 广泛 应 用 ， 从 而 赋予 这 门 学 科 巨 大 的 生命 力 。 

在 密码 学 发 展 的 进程 中 ， 另 一 件 值 得 注意 的 事件 是 ，1976 年 ， 美 国 密码 学 家 迪 菲 和 雷 
尔 曼 在 一 篇 题 为 “密码 学 的 新 方向 ”一 文中 提出 了 一 种 办 新 的 思想 ， 不仅 加 密 算法 本 身 可 
以 公开 ， 甚 至 加 密 用 的 密 钥 也 可 以 公开 。 但 这 并 不 意味 着 保密 程度 的 降低 。 因 为 如 果 加 密 
密 钥 和 解密 密 钥 不 一 样 ， 那 么 将 解密 密 钥 保 密 就 可 以 了 ， 这 就 是 著名 的 公 钥 密码 体制 。 若 
存在 这 样 的 公 钥 体制 ， 就 可 以 将 加 密 密 钥 像 电话 敌 一 样 公 开 ， 任 何 用 户 当 他 想 经 其 他 用 户 
传送 一 加 密 信息 时 ， 就 可 以 从 这 本 密 钥 敌 中 查 到 该 用 户 的 公开 密 钥 ， 用 它 来 加 密 ， 而 接收 
者 能 用 只 有 他 所 具有 的 解密 密 钥 得 到 明文 ， 任 何 第 三 者 都 不 能 获得 明文 。1978 年 ， 由 美国 
麻 省 理工 学 院 的 里 维 斯 特 、 沙 米尔 和 阿 德 曼 提 出 了 RSA 公 钥 密码 体制 ， 它 是 第 一 个 成 熟 的 
公 钥 密码 体制 ， 也 是 迄今 理论 上 最 成 功 的 公 钥 密码 体制 。 它 的 安全 性 是 基于 数论 中 的 大 整 
数 因子 分 解 。 该 问题 是 数论 中 的 一 个 难题 ， 至 今 没有 有 效 的 算法 ， 这 使 得 该 体制 具有 较 高 
的 保密 性 。 

随 着 密码 学 在 各 行 各 业 的 应 用 越 来 越 广 泛 ， 也 随 之 产生 这 一 些 需 要 解决 的 问题 。 比 如 ， 
在 密码 传输 过 程 ， 由 于 所 要 处 理 的 数据 量 特别 大 ， 往 往 会 出 现 一 些 误差 ， 这 当然 会 给 用 户 


低 


但 它 在 今天 仍 有 其 参 
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带 来 一 定 的 麻烦 和 损失 。 正 是 社会 的 这 一 巨大 需求 促进 了 纠 错 码 理论 及 其 工程 应 用 的 迅速 
发 展 ， 各 种 纠 错 编 码 以 其 自动 纠正 或 检测 出 数据 传输 中 的 误差 这 一 特点 ， 深 受 各 界 的 青睐 。 
目前 ， 各 种 功能 完备 的 纠 错 编码 已 在 实际 工程 中 得 到 广泛 的 应 用 。 


4.2.3 ”密码 学 在 信息 安全 的 应 用 


1. 采用 10 位 以 上 密码 


对 于 一 般 情况 下 ，8 位 密码 足够 了 ， 如 一 般 的 网 络 社区 的 密码 、E-mail 的 密码 。 但 是 对 
于 系统 管理 的 密码 ， 尤 其 是 超级 用 户 的 密码 最 好 要 在 10 位 以 上 ，12 位 最 佳 。 首 先 ，8 位 密 
码 居多 ， 一 般 穷 举 工作 的 起 始 字典 都 使 用 6 位 字典 或 8 位 字典 ，10 位 或 12 位 的 字典 不 予 考 
虑 。 其 次 ， 一 个 全 码 8 位 字典 需要 占 去 4GB 左右 空间 ，10 位 或 12 位 的 全 码 字典 更 是 天 文 
数字 ， 要 是 用 一 般 台 式 机 破解 可 能 要 到 下 个 千年 了 ， 运 用 中 型 机 破解 还 有 点 希望 的 。 再 次 ， 
哪怕 是 一 个 12 个 字母 的 英文 单词 ， 也 足以 让 黑客 望而却步 。 


2. 使 用 不 规则 密码 


对 于 有 规律 的 密码 ， 如 :alb2c3d4e5f6， 尽 管 是 12 位 的 ， 但 也 是 非常 好 破解 的 。 因 为 现 
在 这 种 密码 很 流行 ， 字 典 更 是 多 得 满天飞 ， 使 用 这 种 密码 等 于 自杀 。 

3. 使 用 键盘 外 围 的 按键 作为 密码 的 组 成 部 分 

现在 的 许多 破解 软件 都 支持 Incremental( 渐 进 ) 方 式 的 密码 组 合 进行 穷 举 , 其 核心 内 容 就 
是 引入 频率 统计 信息 ， 即 “高 频 先 试 ” 的 原则 。 所 以 ， 对 于 键盘 外 围 的 按键 都 属于 “低频 
使 用 ”的 按键 。 运 用 这 些 按键 组 成 密码 可 以 防止 支持 渐进 式 组 合 穷 举 的 破解 软件 。 


4. 用 左右 上 下 按键 结合 输入 的 密码 


把 键盘 从 “T、G、B ”三 个 键 和 “Y、H、N” 三 个 键 中 间 划 分 成 左 、 右 两 部 分 ， 从 “P” 
和 “A” 这 两 行 中 间 划 分 为 上 、 下 部 分 ， 这 样 键盘 就 被 围 成 了 4 部 分 。 选 取 组 成 密码 的 按键 
最 好 从 这 4 部 分 中 分 别 选 取 交 叉 组 合 ， 这 样 做 的 目的 是 防止 别人 轻易 看 出 并 且 记 住 你 密码 。 
最 好 是 熟练 使 用 “CapsLock” 键 ， 可 以 达到 密码 安全 的 最 高 境界 。 

5. 要 选取 显而易见 的 信息 作为 口令 
单词 、 生 日 、 纪 念 日 、 名 字 都 不 要 作为 密码 的 内 容 ， 这 就 是 密码 设置 的 基本 注意 事项 。 
密码 设置 好 了 ， 并 不 代表 万 事 大 吉 ， 密 码 的 正确 使 用 和 保存 才 是 关键 。 

另外 ， 在 生活 中 也 要 养 成 一 种 好 的 习惯 。Q@ 要 熟练 输入 密码 ， 保 证 密码 输入 的 速度 要 
快 ， 输 入 得 很 慢 等 于 给 别人 看 。@ 不 要 将 密码 写 下 来 ， 密 码 应 当 记 住 ， 千 万 别 写 出 来 。@ 不 
要 将 密码 存 入 计算 机 的 文件 中 。@ 不 要 让 别人 知道 。@ 不 要 在 不 同系 统 上 使 用 同一 密码 。 
@ 在 输入 密码 时 最 好 保证 没有 任何 人 和 监视 系统 的 痉 视 。@ 定 期 改变 密码 ， 最 少 半年 一 次 。 
这 点 尤为 重要 ， 是 密码 安全 问题 的 关键 。 永 远 不 要 对 自己 的 密码 过 于 自信 ， 也 许 无 意 中 就 
泄露 了 密码 。 定 期 改变 密码 ， 会 使 密码 被 破解 的 可 能 性 降 到 很 低 的 程度 。@ 对 于 大 公司 网 
络 的 系统 管理 员 ， 应 该 定期 使 用 密码 破解 软件 来 检测 全 体 用 户 密码 的 安全 性 。 但 要 注意 这 
些 软件 是 否 留 有 “后 门 ”。 
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有 些 用 户 采 用 诸如 PGP(Pretty Good Privacy, 完美 隐私 ) 这 类 软件 来 生成 密码 。 这 是 个 很 
好 的 方法 , 但 是 PGP 的 真正 用 途 是 用 于 对 机 密 性 文件 的 加 密 。 一 般 密 钥 都 在 1024 位 ， 如 著 
名 的 BSA 公 匙 。 对 于 一 般 密 码 生 成 ，PGP 不 是 最 好 的 ， 它 并 不 适合 所 有 人 。 管 理 员 应 该 保 
证 Root 用 户 、Administrators 用 户 组 、PowerUsers 用 户 组 、SuperUsers 用 户 组 以 及 Repilcator 
户 组 密码 的 高 安全 性 ， 防 止 低 权限 用 户 的 密码 被 窃取 影响 到 高 权限 用 户 的 安全 性 及 整个 
系统 的 安全 性 。 不 要 用 Root 及 其 他 高 权限 用 户 去 查看 其 他 用 户 的 文件 , 以免 造成 安全 隐患 。 
管理 员 要 定期 给 员工 进行 安全 知识 培训 ， 增 强 员工 的 安全 意识 。 一 旦 发 现 高 权限 用 户 无 法 
登录 ， 应 查看 系统 日 志 ， 必 要 时 让 主机 断 开 所 有 网 络 ， 以 保证 主机 系统 及 重要 文件 的 安 
全 性 。 
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密码 术 可 以 大 致 分 为 两 种 : 易 位 和 蔡 换 ， 当 然 也 有 两 者 结合 的 更 复杂 的 方法 。 在 易 位 
中 ， 字 母 不 变 、 位 置 改变 ; 在 替换 中 ， 字 母 改变 、 位 置 不 变 。 


1. 最 早 的 密码 


公元 前 400 年 ， 斯 巴 达 人 就 发 明了 “ 塞 塔 式 密码 ”， 即 把 长 条 纸 螺旋 形 地 斜 绕 在 一 个 
多 棱 棒 上 ， 将 文字 沿 棒 的 水 平方 向 从 左 到 右 书 写 ， 写 一 个 字 旋 转 一 下 ， 写 完 一 行 再 另 起 
行 从 左 到 右 写 ， 直 到 写 完 。 解 下 来 后 ， 纸 条 上 的 文字 就 是 密 文 。 这 是 最 早 的 密码 技术 。 


2. 恺 撤 密码 


将 替换 密码 用 于 军事 用 途 的 第 一 个 文件 记载 是 恺 撤 著 的 《高 卢 记 》 。 恺 撤 描述 了 他 如 
何 将 密 信 送 到 正 处 在 被 围困 、 濒 临 投降 的 西 塞 罗 。 其 中 ， 罗 马 字母 被 替换 成 希腊 字母 使 得 
敌人 根本 无 法 看 懂 信 息 。 

苏 托 尼 厄 斯 在 2 世纪 写 的 《 恺 撤 传 》 中 对 恺 撤 用 过 的 其 中 一 种 替换 密码 作 了 详细 的 描 
写 。 恺 撤 只 是 简单 地 把 信息 中 的 每 一 个 字母 用 字母 表 中 的 该 字母 后 的 第 三 个 字母 代替 。 这 
种 密码 替换 通常 叫 作 恺 撤 移 位 密码 ， 或 简单 地 称 作 ， 恺 撤 密 码 。 尽 管 苏 托尼 厄 斯 仅 提 到 三 
个 位 置 的 恺 撤 移 位 ， 但 显然 从 1 到 25 个 位 置 的 移 位 我 们 都 可 以 使 用 。 因 此 ， 为 了 使 密码 有 
更 高 的 安全 性 ， 单 字母 替换 密码 就 出 现 了 。 

明码 表 : ABCDEFGHIJKLMNOPQRSTUVWXYZ 

密码 表 : QWERTYUIOPASDFGHJKLZXCVBNM 

明文 : FOREST 

密 文 : YGKTLZ 

原理 : abcedfghijklmnopqrstuvwxyz 


defghijklmnopqrstuvwxyzabc 
明文 : Hello，every one! 
密 文 : Khoor，hyhub rqh! 
只 需 重 排 密码 表 26 个 字母 的 顺序 ， 人 允许 密码 表 是 明码 表 的 任意 一 种 重 排 ， 密 钥 就 会 增 
加 到 4x102 多 种 ， 我 们 就 有 超过 4x10” 种 密码 表 。 破 解 就 变 得 很 困难 。 


明文 字母 的 顺序 按 密 钥 的 规律 相应 地 排列 组 合 后 输 则 


多 程 度 较 高 ， 但 其 
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换 位 密码 也 称 为 排列 组 合 密码 ， 它 最 大 的 特点 是 不 需 对 明文 字母 作 任何 变换 ， 只 需 对 


tH， 然 后 形成 密 文 。 此 种 加 密 方法 保密 


最 大 的 缺点 是 密 文旦 现 字母 自然 出 现 频率 ， 破 译 者 只 要 稍 加 统计 即 可 识 


1918 年 ， 德 国 


他 曾 在 汉诺威 和 慕尼黑 研究 过 电气 应 用 ， 他 的 一 个 想法 就 是 要 上 月 


别 属于 此 类 加 密 方法 ， 然 后 采取 先 假定 密 钥 长 度 的 方法 ， 对 密 文 进行 排列 组 合 ， 借 助 计算 
机 的 高 速 运算 能 力 及 常用 字母 的 组 合 规律 ， 也 可 以 进行 不 同 程度 破译 。 令 26 
应 于 整数 0 一 25，a=1，b=2...y-=25，z-0。 凯 撒 加 密 变换 实际 上 是 : c= m + k mod 26。 其 中 
m 是 明文 对 应 的 数据 ，c 是 与 明文 对 应 的 密 文 数 据 ，k 是 加 密 月 
村 ，c=m， 即 不 发 生 移 位 。data security 对 应 数据 序列 : 4，1，20，1，19，5，3，21，18&， 
9，20，25，k=5 时 ， 得 密 文 序列 : 9，6，25，6，24，10，8，0，23，14，25，4。 如 果 选 
仅 k1、kz 两 个 参数 ， 其 中 ki 与 26 互 素 ， 令 c= kim + komod 26。 这 利 


3. “ 恩 尼 格 玛 ”(ENIGMA) 密 码 机 


个 字母 分 别 对 


目的 参数 ， 叫 密 钥 。 当 k 取 0 


变换 称 为 仿 射 变换 。 


发 明 家 亚 瑟 。 谢 尔 比 乌 斯 负责 研究 和 开发 密码 技术 ， 紧 追 当时 的 新 潮流 。 


日 20 世纪 的 电气 技术 来 取代 


那 种 过 时 的 铅笔 加 纸 的 加 密 方法 。 谢 尔 比 乌 斯 发 明 的 加 密 电 子 机 械 名 叫 ENIGMA,， 如 图 4.1 
所 示 ， 在 以 后 的 年 代 里 ， 它 被 证 明 是 有 史 以 来 最 为 可 靠 的 加 密 系 统 之 一 ， 而 对 这 种 可 靠 性 
的 盲目 乐观 ， 又 使 它 的 使 用 者 遭 到 了 灭顶 之 灾 。 


如 图 4.2 所 示 


图 4.1 ENIGMA 加 密 机 


ENIGMA 看 起 来 是 一 个 装 满 了 复杂 而 精致 的 元 件 的 盒子 。 不过, 要 是 我 们 把 它 打开 来 ， 
就 可 以 看 到 它 可 以 被 分 解 成 相当 简单 的 三 部 分 : 键盘 、 转 子 和 显示 器 。 


， 我 们 看 见 水 平面 板 的 下 面部 分 就 是 键盘 ， 一 共有 26 个 键 ， 键 盘 排列 接 


近 我 们 现在 使 用 的 计算 机 键盘 。 为 了 使 消息 尽量 地 短 和 更 难以 破译 ， 空 格 和 标点 符号 都 被 
省 略 。 键 盘 上 方 就 是 显示 器 ， 它 由 标示 了 同样 字母 的 26 个 小 灯 组 成 ， 当 键盘 上 的 某 个 键 被 
按 下 时 ， 和 此 字母 被 加 密 后 的 密 文 相对 应 的 小 灯 就 在 显示 器 上 亮 起 来 。 在 显示 器 的 上 方 是 
三 个 转子 ， 它 们 的 主要 部 分 隐藏 在 面板 之 下 (如 图 4.3 所 示 )。 

键盘 、 转 子 和 显示 器 由 电线 相连 ， 转 子 本 身 也 集成 了 26 条 线路 ， 把 键盘 


的 信号 对 应 到 
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显示 器 不 同 的 小 灯 上 去 。 如 果 按 下 a 键 ， 那 么 灯 B 就 会 亮 ， 这 意味 着 a 被 加 密 成 了 B。 同 
样 b 被 加 密 成 了 A，e 被 加 密 成 了 D，d 被 加 密 成 了 F，e 被 加 密 成 了 E,f 被 加 密 成 了 C。 
于 是 ， 如 果 我 们 在 键盘 上 依次 键入 cafe( 咖 啡 ), 显示 器 上 就 会 依次 显示 DBCE。 这 是 最 简单 
多 加 密 方法 之 一 ， 即 把 每 一 个 字母 都 按 一 一 对 应 的 方法 替换 为 男 一 个 字母 ， 这 样 的 加 密 方 
式 叫 作 “简单 蔡 换 密码 ”。 
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图 4.2 ”ENIGMA 加 密 机 面板 图 4.3 ”ENIGMA 加 密 机 内 部 结构 


谢 尔 比 乌 斯 关于 ENIGMA 的 最 重要 的 设计 一 一 当 键 盘 上 一 个 键 被 按 下 时 ， 相 应 的 密 文 
在 显示 器 上 显示 ， 然 后 转子 的 方向 就 自动 地 转动 一 个 字母 的 位 置 (转子 转动 1/26 圈 )。 这 样 
同样 一 个 字母 ， 它 对 应 的 密 文 是 变化 的 ， 当 连续 输入 3 个 b 时 ， 对 应 的 密 文 不 是 AAA， 而 
是 ACE， 因 为 当 第 一 次 输入 b 时 ， 信 号 通过 转子 中 的 连 线 ， 灯 A 亮 起 来 ， 放 开 键 后 ， 转 子 
转动 一 格 ， 各 字母 所 对 应 的 密码 就 改变 了 ; 第 二 次 输入 b 时 ， 它 所 对 应 的 字母 就 变 成 了 C; 
同样 地 ， 第 三 次 输入 b 时 ， 灯 EE 内 亮 。 

图 4.4 中 , 左上 角 是 完整 的 转子 ， 其 他 的 是 转子 的 分 解 ， 我 们 可 以 看 到 安装 在 转子 中 的 
电线 。 这 里 我 们 看 到 了 ENIGMA 加 密 的 关键 : 这 不 是 一 种 简单 替换 密码 。 同 一 个 字母 b 
在 明文 的 不 同位 置 时 ， 可 以 被 不 同 的 字母 蔡 换 ， 而 密 文中 不 同位 置 的 同一 个 字母 ， 可 以 代 
表明 文中 的 不 同 字母 ， 频 率 分 析 法 在 这 里 就 没有 用 武之 地 了 。 这 种 加 密 方式 被 称 为 “复式 
替换 密码 ”。 


图 4.4 ENIGMA 加 密 机 转子 


谢 尔 比 乌 斯 在 机 器 上 用 了 三 个 转子 。 当 第 一 个 转子 转动 整整 一 圈 以 后 ， 它 上 面 有 一 个 
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齿 拨 动 第 二 个 转子 ， 使 得 它 的 方向 转动 一 个 字母 的 位 置 ， 第 二 个 转子 转动 一 圈 后 拨 动 第 三 
个 转子 ， 使 得 它 的 方向 也 转动 一 个 字母 的 位 置 。 用 这 样 的 方法 ， 要 输入 26x26x26=17 576 
个 字母 后 才 会 重复 原来 的 编码 。 在 此 基础 上 ， 谢 尔 比 乌 斯 十 分 巧妙 地 在 三 个 转子 的 一 端 加 
上 了 一 个 反射 器 ， 而 把 键盘 和 显示 器 中 的 相同 字母 用 电线 连 在 一 起 。 反 射 器 和 转子 一 样 ， 
把 某 一 个 字母 连 在 另 一 个 字母 上 ， 但 是 它 并 不 转动 。 但 是 把 它 和 解码 联系 起 来 就 会 看 出 这 
种 设计 的 别 具 匠 心 了 。 
当 一 个 键 被 按 下 时 ， 信 号 不 是 直接 从 键盘 传 到 显示 器 ， 而 是 首先 通过 三 个 转子 连 成 的 
一 条 线路 ， 然 后 经 过 反射 器 再 回 到 三 个 转子 ， 通 过 另 一 条 线路 再 到 达 显 示 器 上 ， 比 如 说 上 
图 中 b 键 被 按 下 时 ， 亮 的 是 D 灯 。 我 们 看 看 如 果 这 时 按 的 不 是 b 键 而 是 d 键 ， 那 么 信号 恰 
好 按照 上 面 b 键 被 按 下 时 的 相反 方向 通行 ， 最 后 到 达 B 灯 。 换 句 话说， 在 这 种 设计 下 ， 反 
射 器 虽然 没有 像 转子 那样 增加 可 能 的 不 重复 的 方向 ， 但 是 它 可 以 使 译 码 的 过 程 和 编码 的 过 
程 完全 一 样 。 

发 信人 首先 要 调节 三 个 转子 的 方向 (初始 状态 )， 由 转 轮 旁 的 读书 窗口 读 取 ,使 它们 处 于 
17 576 个 方向 中 的 一 个 (事实 上 转子 的 初始 方向 就 是 密 钥 ， 这 是 收发 双方 必须 预先 约定 好 
的 )， 然 后 依次 输入 明文 ， 并 把 闪 亮 的 字母 依次 记 下 来 ， 然 后 就 可 以 把 加 密 后 的 消息 用 比如 
电报 的 方式 发 送出 去 。 当 收 信 方 收 到 电文 后 ， 使 用 一 台 相 同 的 ENIGMA， 按 照 原来 的 约定 ， 
把 转子 的 方向 调整 到 和 发 信 方 相同 的 初始 方向 上 ， 然 后 依次 输入 收 到 的 密 文 ， 并 把 闪 亮 的 
字母 依次 记 下 来 ， 就 得 到 了 明文 。 于 是 加 密 和 解密 的 过 程 就 是 完全 一 样 的 一 一 这 都 是 反射 
器 起 的 作用 。 但 是 ， 反 射 器 带 来 的 一 个 副作用 就 是 一 个 字母 永远 也 不 会 被 加 密 成 它 自己 ， 
为 反射 器 中 一 个 字母 总 是 被 连接 到 另 一 个 不 同 的 字母 。 

转子 的 初始 方向 决定 了 整个 密 文 的 加 密 方式 。 如 果 通 信 当 中 有 敌人 监听 ， 他 会 收 到 完 
整 的 密 文 ， 但 是 由 于 不 知道 三 个 转子 的 初始 方向 ， 他 就 不 得 不 一 个 方向 一 个 方向 地 试验 来 
找到 这 个 密 钥 。 问 题 在 于 17 576 这 个 数目 并 不 是 太 大 。 如 果 试 图 破译 密 文 的 人 把 转子 调整 
到 某 一 方向 ， 然 后 输入 密 文 开始 的 一 段 ， 看 看 输出 是 否 像 是 有 意义 的 信息 。 如 果 不 像 ， 羽 
就 再 试 转子 的 下 一 个 初始 方向 …… 如 果 试 一 个 方向 大 约 要 一 分 钟 ， 而 他 二 十 四 小 时 日 夜 
作 ， 那 么 在 大 约 两 星期 里 就 可 以 找 遍 转子 所 有 可 能 的 初始 方向 。 如 果 对 手 用 许多 台 机 器 同 
时 破译 ， 那 么 所 需要 的 时 间 就 会 大 大 缩短 。 这 种 保密 程度 是 不 太 足 够 的 。 
谢 尔 比 乌 斯 在 键盘 和 第 一 转子 之 间 增 加 了 一 个 连接 板 。 这 块 连接 板 允许 使 用 者 用 一 根 
连 线 把 某 个 字母 和 另 一 个 字母 连接 起 来 ， 这 样 这 个 字母 的 信号 在 进入 转子 之 前 就 会 转变 为 
另 一 个 字母 的 信号 。 这 种 连 线 最 多 可 以 有 六 根 ( 后 期 的 ENIGMA 具有 更 多 的 连 线 )， 这 样 就 
可 以 使 6 对 字母 的 信号 互 换 ， 其 他 没有 插 上 连 线 的 字母 保持 不 变 。 在 图 4.1 ENIGMA 的 实 
物 图 里 ， 我 们 看 见 这 个 连接 板 处 于 键盘 的 下 方 。 当 然 连接 板 上 的 连 线 状况 也 是 收发 信息 的 
双方 需要 预先 约定 的 。 

转子 自身 的 初始 方向 ， 转 子 之 间 的 相互 位 置 ， 以 及 连接 板 连 线 的 状况 就 组 成 了 所 有 可 
能 的 密 铀 ， 让 我 们 来 算 一 算 一 共 到 底 有 多 少 种 。 三 个 转子 不 同 的 方向 组 成 了 
26x26x26=17 576 种 不 同 可 能 性 ， 三 个 转子 间 不 同 的 相对 位 置 为 6 种 可 能 性 ， 连接 板 上 两 两 
交换 6 对 字母 的 可 能 性 数目 非常 巨大 ， 有 100391791500 种 ; 于 是 一 共有 
17 576x6x100 391 791 500， 大 约 为 10 000 000 000 000 000， 即 一 亿 亿 种 可 能 性 。 只 有 通过 
约定 的 密 钥 才能 十 分 容易 地 进行 加 密 和 解密 。 


去 
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对 于 每 封 电报 来 说 ， 它 的 第 一 个 字母 和 第 四 个 字母 都 是 由 同一 个 字母 加 密 而 来 ， 同 样 
地 第 二 和 第 五 个 字母 以 及 第 三 和 第 六 个 字母 也 是 分 别 由 同一 个 字母 加 密 而 来 。 比 如 说 在 第 
一 封 电报 中 ， 字 母 L 和 R 是 由 同一 字母 加 密 而 来 的 。 这 个 字母 先 被 加 密 成 L， 然 后 又 被 加 
密 成 了 R， 是 因为 在 此 期 间 转 子 向 前 转动 了 三 个 字母 的 位 置 。 
只 要 约定 好 上 面 所 说 的 密 钥 ， 收 发 双方 利用 ENIGMA 就 可 以 十 分 容易 地 进行 加 密 和 解 
密 。 但 是 如 果 不 知道 密 钥 ， 在 这 巨大 的 可 能 性 面前 ， 一 一 尝试 来 试图 找 出 密 钥 是 完全 没有 
可 能 的 。 转 子 系统 虽然 提供 的 可 能 性 不 多 ,但 是 在 加 密 过 程 中 它们 不 停 地 转动 ， 使 整个 系 
统 变 成 了 复式 替换 系统 ， 频 率 分 析 法 对 它 再 也 无 能 为 力 ， 与 此 同时 ， 连 接 板 却 使 得 可 能 性 
数目 大 大 增加 ， 使 得 暴力 破译 法 ( 即 一 个 一 个 尝试 所 有 可 能 性 的 方法 ) 望 而 却步 。 

在 科学 的 其 他 领域 ， 我 们 说 失败 乃 成 功 之 母 ， 而 在 密码 分 析 领 域 ， 我 们 则 应 该 说 恐惧 
乃 成 功 之 母 。 普 法 战争 造就 了 法 国 一 代 优秀 的 密码 分 析 专 家 ， 而 第 一 次 世界 大 战 中 英国 能 
够 破译 德国 的 通信 和 密码， 对 失败 的 极 大 恐惧 产生 的 动力 无 疑 起 了 巨大 的 作用 。 历 史 又 一 次 
重演 。 因 为 在 欧洲 有 一 个 国家 对 德国 抱 有 这 种 极 大 的 恐惧 一 一 这 就 是 在 一 战 灰 迷 中 浴 火 重 
生 的 新 独立 的 波兰 。 

他 们 在 ENIGMA 的 基础 上 设计 了 一 台 能 自动 验证 所 有 26x26x26=17 576 个 转子 方向 的 
机 器 ， 为 了 同时 试验 三 个 转子 的 所 有 可 能 位 置 的 排列 ， 就 需要 6 台 同 样 的 机 器 (这 样 就 可 以 
试 遍 所 有 的 17 576x6=105 456 种 转子 位 置 和 初始 方向 )。 所 有 这 6 台 ENIGMA 和 为 使 它们 
协作 的 其 他 器 材 组 成 了 一 整个 大 约 一 米 高 的 机 器 ， 能 在 两 小 时 内 找 出 当日 密 钥 。 罗 佐 基 把 
它 取 名 为 “炸弹 ”(La Bomba)， 可 能 是 因为 它 运转 起 来 震 耳 欲 伦 的 声响 ， 不 过 也 有 人 传说 ， 
制造 这 样 一 台 机 器 的 主意 是 雷 杰 夫 斯 基 一 次 在 饭店 里 吃 叫 作 “炸弹 ”的 冰淇淋 时 想到 的 。 

要 破译 ENIGMA 密码 ， 靠 这 些 情报 还 远 远 不 够 。 德军 的 一 份 对 ENIGMA 的 评估 写 道 : 
“即使 敌人 获取 了 一 台 同 样 的 机 器 ， 它 仍旧 能 够 保证 其 加 密 系统 的 保密 性 。” 就 算 有 了 一 
台 ENIGMA， 如 果 不 知道 密 钥 (我 们 知道 所 谓 密 钥 ， 就 是 转子 自身 的 初始 方向 ， 转 子 之 间 的 
相互 位 置 ， 以 及 连接 板 连 线 的 状况 ) 的 话 ， 想 破译 电文 ， 就 要 尝试 数 以 亿 亿 计 的 组 合 ， 这 是 
不 现实 的 。 

如 果 只 是 密 钥 失 密 ， 那 么 失 密 的 只 是 和 此 密 铀 有 关 的 情报 ， 日 后 通信 的 保密 性 可 以 通 
过 更 换 密 钥 来 补救 ， 但 如 果 是 加 密 算法 失 密 ， 而 整个 系统 的 保密 性 又 建立 在 算法 的 秘密 性 
上 ， 那 么 所 有 由 此 算法 加 密 的 信息 就 会 全 部 暴露 。 更 糟糕 的 是 ， 为 了 使 以 后 的 通信 保密 ， 
必须 完全 更 换 加 密 算法 ， 这 意味 着 需要 更 新 加 密 器 械 或 更 换 程序 。 比 起 简单 地 更 换 密 钥 ， 
这 要 耗费 大 量 财富 和 管理 资源 (大 规模 更 换 加 密 器 械 和 程序 会 使 对 手 更 有 机 会 乘虚 而 入 ! ) 

波兰 密码 局 的 破译 能 力 在 1938 年 的 12 月 达到 了 极限 ， 德 国人 加 强 了 ENIGMA 的 加 密 
能 力 。 每 台 ENIGMA 机 增加 了 两 个 可 供 选 择 的 转子 。 原 来 三 个 转子 不 同 的 排列 方式 有 6 种 
现在 从 五 个 转子 中 选取 三 个 装 入 机 器 中 的 方式 达到 了 5x4x3=60 种 。 这 就 意味 着 要 达到 原来 
的 效率 ,， “炸弹 ”中 必须 有 60 台 机 器 同时 运转 ， 而 不 是 原来 的 6 台 。 建 造 这 样 一 台 “ 炸 弹 ” 
的 价格 是 密码 处 总 预算 的 十 五 倍 ! 

波兰 人 的 实践 表明 ，ENIGMA 绝 非 坚 不 可 破 。 波 兰 密码 局 的 经 验 也 表明 ， 数 学 家 在 密 
码 分 析 中 能 够 起 到 多 么 重要 的 作用 。 在 英国 密码 局 (40 局 ) 以 往 都 是 由 精 于 文字 的 语言 学 家 
或 作家 来 担负 起 密码 分 析 的 重任 ， 此 后 40 局 开始 通过 局 内 人 际 关系 从 牛津 大 学 和 剑桥 大 学 
招聘 数学 家 和 数学 系 的 学 生 。 
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国 的 政府 代码 及 加 密 学 校 (Government Code and Cipher School，GC&CS) 是 40 局 新 设 


的 机 构 ， 它 的 总 部 坐落 在 白金 汉 郡 的 布 莱 切 利 公 园 (Bletchley Park) 里 ，40 局 新 招聘 的 密码 分 


析 专 家 


就 在 那里 学 习 和 工作 。 布 莱 切 利 公园 的 中 心 是 一 座 歌 特 式 的 城堡 ，19 世纪 时 由 金融 


家 赫 伯 特 。 莱 晶 (Herbert Leom) 事 士 建造 ，GC&CS 的 领导 机 构 就 设立 在 它 的 图 书馆 、 宽 大 的 
餐厅 以 及 装饰 得 富丽 堂皇 的 舞厅 里 。 


在 
方法 。 
道 。 根 


掌握 了 波兰 人 对 付 ENIGMA 的 手段 后 ， 英 国 密码 分 析 专 家 也 开始 摸索 出 自己 独特 的 
在 正式 用 “炸弹 ”开始 系统 搜索 当日 密 钥 以 前 ， 他 们 总 要 试 一 遍 “ 投 机 取 巧 ”的 门 
据 德军 通信 的 规定 ， 每 一 条 电文 都 要 随机 选择 三 个 不 同 的 字母 组 合 ， 但 是 在 激战 之 


时 ， 德 军 指挥 官 经 常 顾 不 上 “随机 ”， 往 往 在 键盘 上 敲 上 三 个 相 邻 的 字母 了 事 ， 比 方 说 DFG 


或 者 V 
钥 叫 “ 


的 名 字 。 


在 
性 地 
他 一 生 
他 提出 

图 
具有 有 
着 纸 带 
的 内 部 
完成 一 

在 
电文 发 


比方 说 ， 


国电 报 
图 
单词 ， 
然后 转 
这 个 循 
为 W。 
图 


BN， 有 时 甚至 重复 使 用 某 三 个 字母 的 组 合 来 当 密 钥 。 英 国 密码 分 析 专 家 把 这 样 的 密 
下 尔 丝 ”(cillies)， 即 三 字母 组 合 CIL 的 读音 ， 大 概 来 源 于 哪 位 倒霉 德国 军官 的 女友 


布 莱 切 利 公园 有 一 大 群 为 破译 ENIGMA 作出 了 卓越 贡献 的 人 们 。 但 是 如 果 只 能 选择 
述 一 个 人 的 功绩 ， 那 么 这 个 人 无 论 如 何 应 该 是 阿兰 。 图 灵 (Alan Turing)。 图 灵 做 出 了 
中 最 重要 的 科学 贡献 ， 在 他 著名 的 论文 《 论 可 计算 数 》(On Computable Numbers) 中 ， 
了 日 后 以 他 名 字 命 名 的 虚拟 计算 机 器 一 一 图 灵机 。 

灵 设想 的 虚拟 机 器 拥有 一 条 无 限 长 的 纸 带 、 一 个 读 写 头 和 一 个 控制 装置 。 控 制 装置 
限 个 内 部 状态 ， 它 能 够 根据 这 些 内 部 状态 来 控制 读 写 头 作出 相应 的 动作 ， 比 如 说 沿 
前 后 移动 ， 在 纸 带 上 记录 改变 或 抹 去 信息 ， 或 者 读 取 纸 带 上 的 信息 并 据 此 改变 自己 
状态 。 你 可 以 把 纸 带 上 的 信息 看 作 是 指令 或 者 数据 ， 读 写 头 根据 这 些 指令 和 数据 来 
系列 的 动作 。 

分 析 了 以 前 的 大 量 德国 电文 后 ， 图 灵 发 现 许多 电报 有 相当 固定 的 格式 ， 他 可 以 根据 
出 的 时 间 、 发 信人 、 收 信人 这 些 无 关于 电文 内 容 的 信息 来 推断 出 一 部 分 电文 的 内 容 。 
德国 人 每 天 的 天 气 预报 总 在 早上 六 点 左右 发 出 ， 要 是 在 六 点 零 五 分 截获 了 一 份 德 
， 它 里 面 八 成 有 Wetter 这 个 词 ， 也 就 是 德 文中 的 “天 气 ”。 

灵 并 不 清楚 在 密 文中 出 现 这 个 候选 单词 时 的 转子 状态 ， 但 是 假设 他 猜 对 了 这 个 候选 
把 这 个 候选 单词 起 始 时 转子 的 方向 记 为 S， 那 么 在 此 时 ENIGMA 把 w 加 密 成 了 E; 
子 转 到 下 一 个 方向 ， 就 是 St1，ENIGMA 把 e 加 密 成 T; 在 方向 S+2 上 一 个 不 属于 
环 的 字母 被 加 密 了 ， 这 个 我 们 暂且 不 去 管 它 ， 接 下 来 在 方向 St3，ENIGMA 把 t 加密 


灵 想 的 办 法 很 巧妙 ， 因 为 在 这 个 字母 循环 圈 里 有 3 个 字母 ， 所 以 他 想象 如 果 


3 台 


ENIGMA 同时 加 密 这 个 候选 单词 ， 会 发 生 些 什么 事 。3 台 ENIGMA 的 初始 设置 除了 转子 方 


向 外 完 
的 转子 
个 S 具 

使 
电报 的 
情 ， 很 


白白 运 


全 一 样 , 第 一 台 ENIGMA 机 的 转子 初始 方向 被 定 为 原来 的 S， 而 第 二 台 ENIGMA 机 
初始 方向 却 是 St1， 第 三 台 的 转子 初始 方向 是 S+3。 当 然 一 开始 图 灵 根 本 就 不 知道 这 
体 是 什么 (要 是 知道 的 话 密码 也 就 破译 出 来 了 )， 所 以 只 能 一 个 一 个 方向 地 试 。 

用 “炸弹 ”前 先 要 找到 一 个 候选 单词 。 但 是 密码 分 析 人 员 不 能 保证 他 猜 的 词 一 定 在 
明文 中 ; 就 算 猜 对 了 ， 要 把 候选 单词 所 在 的 位 置 正确 地 找 出 来 也 不 是 一 件 容易 的 事 
有 可 能 他 猜 到 了 电文 中 的 一 整 句 话 ， 但 是 把 这 句 话 的 位 置 搞 错 了 ， 那 “炸弹 ”也 就 
行 了 。 密 码 分 析 人 员 找 到 了 一 些 技巧 ， 比 如 说 ， 他 知道 下 面 “wetterbullsechs” 一 定 
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在 电文 明文 中 ， 但 是 具体 位 置 却 只 知道 个 大 概 。 

于 是 他 猜想 密 文 和 明文 的 对 应 是 : 

候选 单词 : wetterbullsechs 

密 文 : IEPRNLWKMJJSXCPLEJWQ 

在 介绍 ENIGMA 的 构造 时 我 们 知道 ， 由 于 反射 器 的 作用 ， 一 个 字母 从 来 也 不 会 被 加 密 
成 它 本 身 , 因此 上 面 的 候选 单词 所 对 应 的 位 置 一 定 是 不 对 的 ， 因 为 第 二 个 字母 e 被 对 应 到 EE 
ET 

解决 方法 : 可 以 慢 慢 地 移动 候选 单词 ， 看 看 是 否 每 个 字母 都 对 应 一 个 和 自己 不 同 的 字 
母 。 比 如 把 上 面 例 子 中 的 候选 单词 向 左 移动 一 位 ， 变 成 : 

候选 单词 : wetterbullsechs 

密 文 : IPRENLWKMJJSXCPLEJWQ 

现在 就 符合 要 求 了 ， 所 以 此 时 才 可 以 让 “炸弹 ”去 试 试 它 的 威力 。 


“3 4.4 ”对称 加 密 算法 及 其 应 用 


4.4.1 DES 算法 及 其 基本 思想 


DES(Data Encryption Standard) 是 在 20 世纪 70 年 代 中 期 由 美国 IBM 公司 发 展 出 来 的 ， 
且 被 美国 国家 标准 局 公布 为 数据 加 密 标准 的 一 种 分 组 加 密 法 。 

DES 属于 分 组 加 密 法 ， 而 分 组 加 密 法 就 是 对 一 定 大 小 的 明文 或 密 文 来 做 加 密 或 解密 动 
作 。 在 这 个 加 密 系统 中 ,其 每 次 加 密 或 解密 的 分 组 大 小 均 为 64 位 ,所 以 DES 没有 密码 扩充 
问题 。 对 明文 做 分 组 切割 时 , 可 能 最 后 一 个 分 组 会 小 于 64 位 , 此 时 要 在 此 分 组 之 后 附加 “0” 
位 。 另 一 方面 ，DES 所 用 的 加 密 或 解密 密 钥 大 小 也 是 64 位 ， 但 因 其 中 以 8 位 是 用 来 做 奇偶 
校 验 ， 所 以 64 位 中 真正 起 密 钥 作 用 的 只 有 56 位。 加 密 与 解密 所 使 用 的 算法 除了 子 密 钥 的 
顺序 不 同 之 外 ， 其 他 部 分 则 是 完全 相同 的 。 

DES 算法 的 原理 如 下 。 

DES 算法 的 入 口 参数 有 3 个 : Key、Data 和 Mode。 其 中 Key 为 8 个 字 节 共 64 位 ， 是 
DES 算法 的 工作 密 钥 。Data 也 为 8 个 字 节 64 位 ， 是 要 被 加 密 或 解密 的 数据 。Mode 为 DES 
的 工作 方式 ， 有 两 种 即 加 密 或 解密 。 

如 Mode 为 加 密 , 则 用 Key 把 数据 Data 进行 加 密 , 生 成 Data 的 密码 形式 (64 位 ) 作 为 DES 
的 输出 结果 ; 若 Mode 为 解密 ， 则 用 Key 把 密码 形式 的 数据 Data 解密 ,还 原 为 Data 的 明码 
形式 (64 位 ) 作 为 DES 的 输出 结果 。 

实现 加 密 需 要 3 个 步 又， 如 图 4.5 所 示 。 

第 一 步 : 变换 明文 。 对 给 定 的 64 位 的 明文 x， 首 先 通过 一 个 置换 IP 表 来 重新 排列 x， 
从 而 构造 出 64 位 的 xo，xo=IP(x)=LoRo， 其 中 Lo 表示 xo 的 前 32 位 ，Ro 表 示 xo 的 后 32 位 。 

二 步 : 按照 规则 迭代 。 规 则 为 : 
工 二 Ri-l 
RELi@fRi, Ki) (1l, 2, 3, …, 16) 
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经 过 第 1 步 变 换 已 经 得 到 Lo 和 Ro 的 值 ， 其 中 符号 @ 表 示 数 学 运算 “ 异 或 ”,f 表 示 
种 置换 ， 由 S 盒 置 换 构成 ，Ki 是 一 些 由 密 钥 编排 函数 产生 的 比特 块 。F 和 Ki 将 在 后 面 介绍 。 
第 三 步 : 对 LieRi6 利 用 IP" 作 道 置换 ， 就 得 到 了 密 文 yo 加 密 过 程 。 


输入 64 位 明文 


一 一 一 一 


卫 置 换 表 


上 了 


迁 代 16 
LaRil 
RELi@ARi, Ki) (=1,2,3,…,16) 


卫 逆 置 换 表 


输出 64 位 密 文 


4.5 ”DES 算法 步骤 
1) ”IP( 初 始 置换 ) 置 换 表 和 IP 逆 置 换 表 
输入 的 64 位 数据 按 IP 表 置 换 进行 重新 组 合 ， 并 把 输出 分 为 Lo 和 Ro 两 部 分 每 部 分 各 
32 位 ， 其 了 P 表 置换 如 表 4.2。 
表 4.2 IP 表 置换 
[5 12|13|2118 110|2|60|52| 4|3 22 
| s4|4|38|30 12 14|6|6|s|4 1 40 | 3 2 116 


| 91141315 79|1|s593135|2181 
L3145|i7 2 solsl71s13l2315| 
将 输入 的 64 位 明文 的 第 58 位 换 到 第 一 位 ， 第 50 位 换 到 2 位 ， 以 此 类 推 ， 最 后 一 位 是 原 
来 的 第 7 位 。Lo 和 Ro 则 是 换 位 输出 后 的 两 部 分 ，Lo 是 输出 的 左 32 位 ，Ro 是 右 32 位 。 比 如 : 置 
换 前 的 输入 值 为 DID:Dj…De4, 则 经 过 初 置换 后 的 结果 为 : Lo=D5gD5o…Ds，Ro=D57D49%…D7。 
经 过 16 次 迭代 运算 后 。 得 到 Li6 和 Rie， 将 此 作为 输入 进行 逆 置换 ， 即 得 到 密 文 输出 。 
逆 置 换 正 是 初始 置 的 逆 运 算 。 例 如 ， 第 1 位 经 过 初始 置换 后 ， 处 于 第 40 位 ， 而 通过 逆 置 换 
IP1， 又 将 第 40 位 换 回 到 第 1 位 ， 其 逆 置 换 IP- 规则 表 如 表 4.3。 
表 4.3” 逆 置换 表 IP” 


2) 函数 f 
函数 f 有 两 个 输入 : 32 位 的 Ril 和 48 位 Ki。 
E 变换 的 算法 是 从 Ri 的 32 位 中 选取 某 些 位 ， 构 成 48 位 ， 即 EE 将 32 位 扩展 位 48 位 。 
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变换 规则 根据 了 位 选择 表 ， 如 表 4.4 所 示 。 
表 4.4 E( 扩 展 置换 ) 位 选择 表 


Ki 是 由 密 钥 产生 的 48 位 比特 串 ， 具 体 的 算法 是 : 将 E 的 选 位 结果 与 K; 作 异 或 操 人 
得 到 一 个 48 位 输出 。 分 成 8 组， 每 组 6 位 ， 作 为 8 个 s 盒 的 输入 。 

每 个 S 盒 输出 4 位 ， 共 32 位 。S 盒 的 输出 作为 P 变换 的 输入 ，P 的 功能 是 对 输入 进行 
置换 ， 如 表 4.5 所 示 。 


TT 


表 4.5 _P( 压 缩 置换 ) 换 位 表 


16 这 20 2 29 12 全 请 23 26 5 31 
2 8 24 14 32 27 3 9 13 30 6 22 11 4 25 
3) 子 密 钥 Ki 
假设 密 钥 为 K， 长 度 为 64 位 ， 但 是 其 中 第 8，16，24，32，40，48，64 用 作 奇 偶 校 验 
位 ， 实 际 上 密 钥 长 度 位 56 位 。K 的 下 标 i 的 取 值 范 围 是 1~16， 用 16 轮 来 构造 。 
首先 ， 对 于 给 定 的 密 钥 K， 应 用 PC 变换 进行 选 位 ， 选 定 后 的 结果 是 56 位 ， 设 其 前 28 
位 为 Co， 后 28 位 为 Du。 如 表 4.6 所 示 。 
表 4.6 PC1 选 位 表 


[olals|ls|r|o。|!1|s 34 
51 43 35 27 [lunlaleolaala 
47 @ 5 4133ao| 
[Le lalalslyllalalslalao 

第 一 轮 : 对 Co 作 左 移 LS 得 到 Ci， 对 Do 作 左 移 LS; 得 到 Di， 对 CID 应 用 PC 进行 选 

位 ， 得 到 Ki。 其 中 LS1 是 左 移 的 位 数 ， 如 表 4.7 所 示 。 

表 4.7 LS( 循 环 左 移 ) 移 位 表 


已 


表 的 第 1 列 是 LS1， 第 2 列 是 LS,， 以 此 类 推 。 左 移 的 原理 是 所 有 二 进 制 位 向 左 移动 ， 
原来 最 右边 的 比特 位 移动 到 最 左边 。 如 表 4.8 所 示 。 
表 4.8 PC2 选 位 表 
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第 2 轮 : 对 Cl 和 Di 作 左 移 LS; 得 到 C 和 D， 进 一 步 对 CD, 应 用 PC 进行 选 位 ， 得 
到 K2， 如 此 继续 ， 分 别 得 到 K3K4…Ki6。 

4) S 盒 的 工作 原理 

S 盒 以 6 位 作为 输入 ， 而 以 4 位 作为 输出 ， 现 以 si 为 例 说 明 其 过 程 。 假 设 输入 为 
A=alaza3a4asa6， 则 azasa4as， 所 代表 的 数 是 0 到 15 之 间 的 一 个 数 ， 记 为 : K= aza3a4as。 由 ala6 
所 代表 的 数 是 0 到 3 间 的 一 个 数 ， 记 为 h= aiag。 在 si 的 h 行 ，k 列 找到 一 个 数 B，B 在 0 
到 15 之 间 ， 它 可 以 用 4 位 二 进 制 表示 ， 为 B=bibzbsb4， 这 就 是 si 的 输出 。 如 表 4.9 所 示 。 


表 4.9 S 盒 由 8 张 数据 表 组 成 


S5 


12 4 7 13 和 5 0 15 
人 lalzlslsle9 an 
11 8 12 学 1 14 2 13 6 15 0 
S6 
12 1 10 | 15 9 2 6 13 3 4 14 学 5 11 
10 | 15 4 2 7 12 9 1 13 14 0 11 3 8 
4 3 2 12 9 5 15 10 | 11 14 1 多 0 8 13 
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S7 


DES 算法 的 解密 过 程 是 一 样 的 , 区 别 仅仅 在 于 第 1 次 迭代 时 用 子 密 钥 Kis, 第 2 次 Ku， 
最 后 一 次 用 Ko， 算 法 本 身 并 没有 任何 变化 。DES 的 算法 是 对 称 的 ， 既 可 用 于 加 密 又 可 用 于 
解密 。 


4.4.2 DES 算法 的 安全 性 分 析 


DES 算法 具有 极 高 安全 性 ， 到 目前 为 止 ， 除 了 用 穷 举 搜索 法 对 DES 算法 进行 攻击 外 
还 没有 发 现 更 有 效 的 办 法 。 而 56 位 长 的 密 钥 的 穷 举 空间 为 256T, 这 意味 着 如 果 一 台 计 算 机 
的 速度 是 每 秒 钟 检测 一 百 万 个 密 钥 , 则 它 搜索 完全 部 密 钥 就 需要 将 近 2285 年 的 时 间 , 可 见 ， 
这 是 难以 实现 的 ， 当 然 ， 随 着 科学 技术 的 发 展 ， 当 出 现 超 高 速 计算 机 后 ， 我 们 可 考虑 把 DES 
密 钥 的 长 度 再 增长 一 些 ， 以 此 来 达到 更 高 的 保密 程度 。 

在 DES 算法 作为 一 个 标准 时 ， 曾 出 现 过 许多 的 批评 ， 其 中 之 一 就 是 针对 S 盒 的 。DES 
里 的 所 有 计算 ， 除 去 S 盒 全 是 线性 的 ， 也 就 是 说 ， 计 算 两 个 输出 的 异 或 与 先 将 两 个 对 应 输 
入 异 或 再 计算 其 输出 是 相同 的 。 作 为 非 线性 部 件 ，S 盒 针对 密码 体制 的 安全 性 至 关 重 要 。 在 
算法 提出 时 ， 就 有 人 怀疑 S 盒 隐藏 了 “ 陷 门 ”。 而 美国 国家 安全 局 能 够 轻易 地 解密 消息 ， 
同时 还 能 宣称 DES 算法 是 “安全 ”的 。 当 然 无 法 否认 这 一 猜测 ， 然 而 到 目前 为 止 ， 并 没有 
任何 证 据 证 明 DES 里 的 确 存在 “ 陷 门 ”。 

事实 上 ， 后 来 表明 DES 里 的 S 盒 是 被 设计 成 能 够 防止 某 些 类 型 的 攻击 的 。 在 20 世纪 
90 年 代 初 ，Biham 与 Shamir 发 现 差分 分 析 时 ， 美 国 国家 安全 局 就 已 承认 某 些 未 公布 的 S 盒 
设计 原则 正 是 为 了 使 得 差分 密码 分 析 变 得 不 可 行 。 事 实 上 ， 差 分 密码 分 析 在 DES 最 初 被 研 
发 时 就 已 成 为 IJBM 的 研究 者 所 知 , 但 这 种 方法 却 被 保留 了 将 近 20 年 , 直到 Biham 与 Shamir 
又 独立 地 发 现 了 这 种 攻击 。 

对 DES 算法 最 中 肯 的 批评 是 密 钥 太 短 。DES 算法 中 只 用 到 64 位 密 钥 中 的 其 中 56 位 ， 
第 8，16，24，…，64 位 8 个 位 并 未 参与 DES 运算 ， 而 是 用 作 奇 偶 校 验 。 在 所 有 密 钥 空间 
中 有 极 少量 的 弱 密 铀 ， 如 全 0 和 全 下 的 密 钥 等 ， 在 选择 时 应 尽量 避免 。 这 一 点 ， 向 我 们 提 
出 了 一 个 应 用 上 的 要 求 , 即 DES 的 安全 性 是 基于 除了 8、16、2464 位 外 的 其 余 56 位 的 组 合 
变化 256 才 得 以 保证 的 。 因此， 在 实际 应 用 中 ， 我 们 应 避 开 使 用 第 8、16、24…64 位 作为 
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有 效 数 据 位 , 而 使 用 其 他 的 56 位 作为 有 效 数据 位 ,才能 保证 DES 算法 安全 可 靠 地 发 挥 作用 。 
如 果 不 了 解 这 一 点 ， 把 密 钥 Key 的 8，16，24，…，64 位 作为 有 效 数据 使 用 ， 将 不 能 保证 
DES 加 密 数据 的 安全 性 ， 对 运用 DES 来 达到 保密 作用 的 系统 产生 数据 被 破译 的 危险 ， 这 正 
是 DES 算法 在 应 用 上 的 误区 ， 留 下 了 被 人 攻击 、 被 人 破译 的 极 大 隐患 。 总 之 ，DES 密 钥 太 
短 ， 超 期 服役 的 时 间 也 太 长 。 新 的 攻击 手段 不 断 出 现 ，DES 以 面临 实 实在 在 的 威胁 。 直 接 
的 威胁 还 是 在 于 专用 设备 ， 由 于 芯片 的 速度 越 来 越 快 ， 造 价 越 来 越 便宜 ， 导 致 专用 设备 的 
造价 也 大 大 地 降低 。 

DES 算法 除了 差分 密码 分 析 外 ， 另 外 两 种 最 重要 的 密码 攻击 是 穷尽 密 钥 搜索 和 线性 密 
码 分 析 。 对 DES 算法 而 言 ， 线 性 攻击 更 有 效 。1994 年 ， 一 个 实际 的 线性 密码 分 析 由 其 发 明 
者 Matsui 提出 。 这 是 一 个 使 用 243 对 明文 一 一 密 文 ， 又 用 了 40 天 来 找到 密 钥 。 这 个 密码 分 
析 并 未 对 DES 的 安全 性 产生 实际 影响 ， 由 于 这 个 攻击 需要 数目 极 大 的 明 - 密 文 对 ,在 现实 世 
界 中 一 个 敌手 很 难 积 手下 用 同一 密 钥 加 密 的 如 此 众多 的 明 - 密 文 对 。 


4.4.3 ”其 他 常用 的 对 称 加 密 算法 


1. 3DES 加 密 算法 


3DES 又 称 Triple DES， 是 DES 加 密 算法 的 一 种 模式 ， 它 使 用 3 条 56 位 的 密 钥 对 数据 
进行 三 次 加 密 。 数 据 加 密 标 准 (DES) 是 美国 的 一 种 由 来 已 久 的 加 密 标 准 ， 它 使 用 对 称 密 钥 加 
密 法 , 并 于 1981 年 被 ANSI 组 织 规范 为 ANSIX.3.92。DES 使 用 56 位 密 钥 和 密码 块 的 方法 ， 
而 在 密码 块 的 方法 中 ， 文 本 被 分 成 64 位 大 小 的 文本 块 然后 再 进行 加 密 。 比 起 最 初 的 DES， 
3DES 更 为 安全 。 

3DES 是 DES 向 AES 过 渡 的 加 密 算法 (1999 年 ,NIST 将 3DES 指定 为 过 渡 的 加 密 标准 )， 
是 DES 的 一 个 更 安全 的 变形 。 它 以 DES 为 基本 模块 , 通过 组 合 分 组 方法 设计 出 分 组 加 密 算 
法 ， 其 具体 实现 如 下 : 设 EK0O 和 DKO 代 表 DES 算法 的 加 密 和 解密 过 程 ，K 代表 DES 算法 
使 用 的 密 钥 ，P 代表 明文 ，C 代表 密 文 。 这 样 ， 

3DES 加 密 过 程 为 : C=EK3(DK2(EK1(P))) 

3DES 解密 过 程 为 : P=DKI((EK2(DK3(C))) 

这 里 可 以 Ki=K3， 但 不 能 Ki=K2=Ks( 如 果 相等 的 话 就 成 了 DES 算法 了 ) 

3DES 有 两 个 相同 的 密 钥 (K1=K3), 可 以 是 3DES-CBC, 也 可 以 是 3DES-ECB, 3DES-CBC 
整个 算法 的 流程 和 DES-CBC 一 样 ， 但 是 在 原来 的 加 密 或 者 解密 处 增加 了 异 或 运算 的 步 又 ， 
使 用 的 密 钥 是 16 字 节 长 度 的 密 钥 ， 将 密 钥 分 成 左 8 字 节 和 右 8 字 节 的 两 部 分 ， 即 Ki= 左 8 
字 节 ，Ko2= 右 8 字 节 ， 然 后 进行 加 密 运 算 和 解密 运算 。 

3DES 也 可 使 用 三 个 不 同 的 密 钥 , 它 和 3DES-CBC 的 流程 完全 一 样 , 只 是 使 用 的 密 钥 是 
24 字 节 的 ， 但 在 每 个 加 密 - 解 密 - 加 密 时 用 的 密 钥 不 一 样 ， 将 密 钥 分 为 3 段 8 字 节 的 密 钥 分 
别 为 密 钥 1、 密 钥 2 和 密 钥 3， 在 3DES 加 密 时 对 加 密 -解密 -加 密 依次 使 用 密 钥 1、 密 钥 2、 
密 钥 3， 在 3DES 解密 时 对 解密 -加 密 - 解 密 依次 使 用 密 钥 3、 密 钥 2、 密 钥 1。 


2. AES( 高 级 加 密 标准 ) 加 密 算 法 
2000 年 10 月 ，NIST( 美 国 国家 标准 和 技术 协会 ) 宣 布 通过 从 15 种 候选 算法 中 选 出 的 一 
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项 新 的 密 钥 加 密 标准 。Rijndael 被 选中 成 为 将 来 的 AES( 高 级 加 密 标准 )。Rijndael 是 在 1999 
年 下 半年 ， 由 研究 员 Joan Daemen 和 Vincent Rijmen 创建 的 。AES 正 日 益 成 为 加 密 各 种 
形式 的 电子 数据 的 实际 标准 。 

美国 标准 与 技术 研究 院 (NIST) 于 2002 年 5 月 26 日 制定 了 新 的 高 级 加 密 标准 (AES) 
规范 ， 如 图 4.6 所 示 。AES 算法 基于 排列 和 置换 运算 。 排 列 是 对 数据 重新 进行 安排 ， 置 换 
是 将 一 个 数据 单元 蔡 换 为 男 一 个 。AES 使 用 几 种 不 同 的 方法 来 执行 排列 和 置换 运算 。 


用 [国文 分 银 为 多 个 瑞 ] 多 [国文 分 银 为 多 个 瑞 ] 
ES 


128 位 ，192 
ER 国文 殉国 文 允 3 2 
23De| 


本 


A 


| 所 以 AES 是 分 组 密码 ， 也 称 FE 块 密码 
图 4.6 高 级 加 密 标准 


AES 是 一 个 迭代 的 、 对 称 密 钥 分 组 的 密码 ， 它 可 以 使 用 128、192 和 256 位 密 钥 ， 并 
且 用 128 位 (16 字 节 ) 分 组 加 密 和 解密 数据 。 与 公共 密 钥 密码 使 用 密 钥 对 不 同 ， 对 称 密 钥 密 
码 使 用 相同 的 密 钥 加 密 和 解密 数据 。 通 过 分 组 密码 返回 的 加 密 数据 的 位 数 与 输入 数据 相同 。 
迭代 加 密使 用 一 个 循环 结构 ， 在 该 循环 中 重复 置换 和 蔡 换 输入 数据 。AES 加 密 、 解 密 算法 
原理 和 AVR 实现 如 下 。 

AES 是 一 个 新 的 可 以 用 于 保护 电子 数据 的 加 密 算法 。 明 确 地 说 ，AES 是 一 个 迭代 的 、 
对 称 密 钥 分 组 的 密码 ， 它 可 以 使 用 128、192 和 256 位 密 钥 ， 并 且 用 128 位 (16 字 节 ) 分 组 
加 密 和 解密 数据 。 与 公共 密 钥 密码 使 用 密 钥 对 不 同 ， 对 称 密 钥 密码 使 用 相同 的 密 钥 加 密 和 
解密 数据 。 通 过 分 组 密码 返回 的 加 密 数 据 的 位 数 与 输入 数据 相同 。 和 迭代 加 密使 用 一 个 循环 
结构 ， 在 该 循环 中 重复 置换 (permutations ) 和 替换 (substitutions) 输 入 数据 。 

AES 算法 是 基于 置换 和 代替 的 。 置 换 是 数据 的 重新 排列 ， 而 代替 是 用 一 个 单元 数据 蔡 
换 另 一 个 。AES 使 用 了 几 种 不 同 的 技术 来 实现 置换 和 替换 。 为 了 阐明 这 些 技术 ， 让 我 们 于 
图 4.7 所 示 的 数据 讨论 一 个 具体 的 AES 加 密 例子 。 下 面 是 你 要 加 密 的 128 位 值 以 及 它们 对 
应 的 索引 数组 : 00 11 22 33 44 55 66778899aabbccddeeff012345678910111213 
14 15, 192 位 密 钥 的 值 是 : 00 01 02 03 04 05 06 07 08 09 0a 0b 0c 0d 0e Of 10 11 12 13 14 15 16 
170123456789101112 13 1415 16 17 18 19 20 21 22 23。 

AES 高 级 数据 加 密 算法 不 管 是 从 安全 性 、 效 率 ， 还 是 密 钥 的 灵活 性 等 方面 都 优 于 DES 
数据 加 密 算法 ， 在 今后 将 逐步 代替 DES 而 被 广泛 应 用 。 
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图 4.7 高 级 加 密 算法 实例 


4.4.4 ”AES 加 密 算 法 在 网 络 安全 中 的 应 用 


随 着 信息 安全 要 求 的 不 断 提高 ， 数 据 加 密 作为 保护 信息 安全 的 重要 和 手段， 其 应 用 不 再 
局 限于 军事 、 国 防 等 有 限 领 域 , 而 是 迅速 走 进 千 家 万 户 。 AES 将 加 密 密 钥 的 位 数 提高 到 128 
位 以 上 ， 极 大 地 增加 了 破解 密 文 的 难度 。Rijndael 被 选 为 AES 是 经 过 多 个 国家 的 密码 专家 
广泛 讨论 的 结果 。Rijndael 算法 具有 灵活 、 简 便 、 抗 击 多 种 密码 分 析 的 优点 ， 它 的 目标 是 发 
展 成 能 够 安全 用 于 商业 、 政 治 和 军事 的 加 密 算法 。 

AES(Rijndael) 算 法 汇聚 了 安全 性 、 效 率 高 、 易 实现 性 、 灵 活性 等 优点 , 是 一 种 较 DES 更 
好 的 算法 , 通常 被 认为 是 DES 算法 的 取代 者 。 目 前 ，AES 算法 主要 用 于 基于 私密 数据 加 密 
算法 (对 称 密 钥 加 密 算法 ) 的 各 种 信息 安全 技术 和 安全 产品 , 为 原 有 的 数据 加 密 应 用 提供 更 强 
的 数据 安全 保障 。 此 外 ，AES 算法 硬件 实现 的 速度 大 约 是 软件 实现 的 3 倍 ， 这 就 给 用 硬件 
实现 加 密 提供 了 很 好 的 机 会 。 随 着 网 络 技术 发 展 迅 猛 ， 网 络 数据 的 加 密 要 求 日 益 提高 。 

1. 无 线 网 络 应 用 

由 于 无 线 网 络 的 通信 通道 较 有 线 网 络 更 为 开放 ， 安 全 性 的 要 求 更 高 。 目 前 ， 无 线 网 络 
主要 有 两 个 国际 标准 :一 是 用 于 WLAN 的 IEEE 803.11 协议 (WIFD; 二 是 用 于 Wman 的 IEEE 
803.16 协议 (Wimax)。 这 两 个 协议 在 制定 初期 所 采用 的 安全 机 制 分 别 为 RC4 和 DES， 后 来 
这 两 个 协议 也 都 将 AES 加 入 到 协议 的 安全 机 制 中 。 此 外 ， 为 了 保障 数据 传输 安全 性 ， 其 他 
的 一 些 无 线 网 络 技术 也 都 使 用 了 AES。 例 如 ZigBee 技术 ， 为 确保 MAC 帧 的 完整 性 、 机 密 
性 、 真 实 性 和 一 致 性 ， 其 MAC 层 使 用 AES 算法 进行 加 密 ， 并 且 生成 一 系列 的 安全 机 制 。 
ZigBee 技术 是 一 种 近 距 离 、 低 复杂 度 、 低 功 耗 、 低 数据 速率 ， 低 成 本 的 双向 无 线 通信 技术 ， 
主要 适用 于 自动 控制 和 远程 控制 领域 ， 可 以 嵌入 到 各 种 设备 中 。 


2. 电子 商务 应 用 


在 电子 商务 方面 ,主要 是 AES 在 电子 商务 基础 平台 中 的 密码 协议 和 交易 安全 协议 中 的 
应 用 。 例 如 ， 将 AES 应 用 在 SSL(Secure Sockets Layer， 安 全 套 接 层 ) 协 议 中 。 在 实施 数据 
传输 前 ， 发 送 方 通过 身份 认证 后 ， 用 SSL 安全 通道 发 送 AES 密 钥 到 接收 方 的 同时 ， 使 
AES 算法 对 实时 数据 加 密 , 然后 基于 UDP 协议 通过 互联 网 发 送 加 密 的 实时 数据 到 接收 方 。 
这 样 接收 方 可 以 用 接收 到 的 AES 密 钥 得 到 具体 的 实时 数据 。 此 外 ， 还 可 以 研究 将 AES 与 


加 | 
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其 他 一 些 公 钥 加 密 算法 ( 非 对 称 加 密 算 法 ) 相 结合 ， 设 计 出 新 的 密码 。 目 前 比较 典型 的 研究 包 
括 : AES 与 RSA 相 结合 的 混合 加 密 体系 ; 利用 NTRU 公 钥 密码 体系 分 配 AES 密 钥 ; AES 
与 ECC( 椭 圆 曲 线 加 密 算 法 ) 相 结合 的 加 密 体系 ， AES 在 数据 签名 中 的 应 用 ; AES 在 公 钥 加 
密 体系 PKI 中 的 应 用 等 。 


3. AES 软件 应 用 


在 AES 软件 实现 方面 ， 其 应 用 领域 包含 语音 、 视 频 信 息 的 加 密 ， 数 据 库 中 的 数据 加 密 
等 。 随 着 计算 机 对 多 媒体 信息 处 理 能 力 的 增强 ， 多 媒体 信息 加 密 的 问题 日 渐 凸显 。 由 于 多 
媒体 信息 的 数据 量 很 大 ， 直 接 对 其 加 密 效 率 较 低 。 因 此 ， 不 仅 要 考虑 数据 加 密 算 法 AES 的 
使 用 方法 , 还 要 设计 相应 的 对 多 媒体 信息 进行 加 密 的 过 程 。 关于 AES 在 数据 库 方面 的 应 用 ， 
主要 在 于 如 何在 数据 输入 、 输 出 中 生成 、 分 配 和 管理 所 用 的 密 钥 以 及 安全 的 数据 加 密 策略 。 


4. AES 硬件 应 用 


在 AES 硬件 应 用 方面 ， 主 要 方向 有 射频 IC 卡 中 的 数据 安全 、 智 能 安全 卡 和 对 硬盘 数 
据 的 加 密 等 方面 。 目 前 ， 射 频 IC 卡 的 应 用 范围 很 广 ， 如 公交 IC 卡 、 校 园 一 卡通 、 门 禁 卡 
和 新 一 代 的 居民 身份 证 中 都 嵌入 了 IC 芯片 。 其 中 所 存储 的 数据 通常 都 含有 持 卡 人 的 私人 信 
息 ， 这 些 信 息 如 果 不 经 过 加 密 处 理 ， 很 可 能 泄露 出 去 。 因 此 ， 如 何在 射频 IC 卡 中 加 入 数据 
加 密 功能 是 AES 硬件 应 用 的 一 个 研究 方向 。 


多 4.5 ”RSA 公 钥 加 密 算 法 及 其 应 用 


4.5.1 RSA 算法 及 其 基本 思想 


RSA 公 钥 加 密 算法 是 1977 年 由 Ron Rivest、Adi Shamirh 和 LenAdleman 在 (美国 麻 省 理 
工学 院 ) 开 发 的 。RSA 取 名 来 自 于 他 们 三 个 开发 者 的 名 字 。RSA 是 目前 最 有 影响 力 的 公 钥 加 
密 算法 ， 它 能 够 抵抗 到 目前 为 止 已 知 的 所 有 密码 攻击 ， 已 被 ISO 推荐 为 公 钥 数据 加 密 标准 。 
RSA 算法 基于 一 个 十 分 简单 的 数论 事实 : 将 两 个 大 素数 相 乘 十 分 容易 ， 但 那 时 想 要 对 其 乘 
积 进 行 因 式 分 解 却 极其 困难 ， 因 此 可 以 将 乘积 公开 作为 加 密 密 钥 。 所 谓 公开 密 钥 密 码 体制 
就 是 使 用 不 同 的 加 密 密 钥 与 解密 密 钥 ， 是 一 种 “由 已 知 加 密 密 钥 推导 出 解密 密 钥 在 计算 上 
是 不 可 行 的 ”密码 体制 。 

在 公开 密 钥 密 码 体制 中 ， 加 密 密 钥 ( 即 公开 密 钥 )PK 是 公开 信息 ， 而 解密 密 钥 ( 即 秘密 密 
钥 )SK 是 需要 保密 的 。 加 密 算法 E 和 解密 算法 D 也 都 是 公开 的 。 虽 然 秘密 密 钥 SK 是 由 公 
开 密 钥 PK 决定 的 ， 但 却 不 能 根据 PK 计算 出 SK。 正 是 基于 这 种 理论 ，1978 年 出 现 了 著名 
的 RSA 算法 ， 它 通常 是 先生 成 一 对 RSA 密 钥 ， 其 中 之 一 是 保密 密 钥 ， 由 用 户 保存 ， 另 一 
个 为 公开 密 钥 ， 可 对 外 公开 ， 甚 至 可 在 网 络 服务 器 中 注册 。 为 提高 保密 强度 ，RSA 密 钥 至 
少 为 500 位 长 ， 一 般 推 荐 使 用 1024 位 。 这 就 使 加 密 的 计算 量 很 大 。 为 减少 计算 量 ， 在 传送 
信息 时 ， 常 采用 传统 加 密 方法 与 公开 密 钥 加 密 方 法 相 结 合 的 方式 ， 即 信息 采用 改进 的 DES 
或 IDEA 对 话 密 钥 加 密 ， 然 后 使 用 RSA 密 钥 加 密 对 话 密 钥 和 信息 摘要 。 对 方 收 到 信息 后 ， 
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不 同 的 密 钥 解密 并 可 核对 信息 摘要 。 


人 们 接受 ， 普 遍 认为 是 目前 最 优秀 的 公 钥 方案 之 一 。 


RSA 算法 是 第 一 个 能 同时 用 于 加 密 和 数字 签名 的 算法 ， 也 易于 理解 和 操作 。RSA 是 被 
研究 得 最 广泛 的 公 钥 算法 ， 从 提出 到 现在 的 三 十 多 年 里 ， 经 历 了 各 种 攻击 的 考验 ， 逐 渐 为 


RSA 的 安全 性 依赖 于 大 数 的 因子 分 解 , 但 并 没有 从 理论 上 证 明 破 译 RSA 的 难度 与 大 数 
分 解难 度 等 价 。 即 RSA 的 重大 缺陷 是 无 法 从 理论 上 把 握 它 的 保密 性 ， 而 且 密码 学 界 多数 人 


士 倾向 于 因子 分 解 不 是 NPC 问题 。 


RSA 的 安全 基于 大 数 分 解 的 难度 。 其 公 钥 和 私 钥 是 一 对 大 素数 (100 到 200 位 十 进 制 数 


或 更 大 ) 的 函数 。 从 一 个 公 钥 和 密 文 恢复 出 明文 的 难度 ， 等 价 于 分 解 两 个 大 素数 之 积 (这 
认 的 数学 难题 )。 RSA 的 公 钥 、 私 钥 的 组 成 ， 以 及 加 密 、 解 密 的 公式 可 见 表 4.10。 
表 4.10 RSA 


是 公 


| 


RSA 是 被 研究 得 最 广泛 的 公 钥 算 法 ， 从 提出 到 现在 已 二 十 多 年 ， 经 历 了 各 种 攻击 
验 ， 逐 渐 为 人 们 接受 ， 普 遍 认为 是 目前 最 优秀 的 公 钥 方 案 之 一 。 


4.5.2 RSA 算法 的 安全 性 分 析 


在 RSA 密码 应 用 中 ， 公 钥 是 被 公开 的 ， 即 e 和 n 的 数值 可 以 被 第 三 方 窃听 者 得 到 
解 RSA 密码 的 问题 就 是 从 已 知 的 e 和 n 的 数值 (n 等 于 pq)， 想 法 求 出 d 的 数值 ， 这 样 就 


的 考 


。 破 
可 以 


得 到 私 钥 来 破解 密 文 从 上 文中 的 公式 : d 三 e '{mod[(p-1)(q-1)]} 或 de 三 1 {mod[(p-1)(q-1)]} 
我 们 可 以 看 出 。 密 码 破解 的 实质 问题 是 ， 从 pq 的 数值 ， 去 求 出 (p-1) 和 (q-1)。 换 句 话 说 ， 只 


要 求 出 p 和 q 的 值 ， 我 们 就 能 求 出 d 的 值 而 得 到 私 钥 。 

当 p 和 q 是 一 个 大 素数 的 时 候 ， 从 它们 的 积 pq 去 分 解 因 子 p 和 q， 这 是 一 个 公认 
学 难题 。 比 如 当 pq 大 到 1024 位 时 ， 迄 今 为 止 还 没有 人 能 够 利用 任何 计算 工具 去 完成 
因子 的 任务 。 因 此 ，RSA 从 提出 到 现在 已 二 十 多 年 ， 经 历 了 各 种 攻击 的 考验 ， 逐 渐 为 
接受 ， 普 遍 认为 是 目前 最 优秀 的 公 钥 方案 之 一 。 然 而 ， 虽 然 RSA 的 安全 性 依赖 于 大 数 
子 分 解 ， 但 并 没有 从 理论 上 证 明 破 译 RSA 的 难度 与 大 数 分 解难 度 等 价 。 

RSA 的 缺点 主要 有 以 下 几 项 。Q 产 生 密 钥 很 麻烦 ， 受 到 素数 产生 技术 的 限制 ， 因 
以 做 到 一 次 一 密 。@ 分 组 长 度 太 大 ， 为 保证 安全 性 ，n 至 少 也 要 600 位 以 上 ， 使 运算 
很 高 ， 尤 其 是 速度 较 慢 ， 较 对 称 密码 算法 慢 几 个 数量 级 ; 且 随 着 大 数 分 解 技术 的 发 展 


的 数 
分 解 
人 个 
的 


而 难 
代价 


个 长 度 还 在 增加 ， 不 利于 数据 格式 的 标准 化 。 目 前 ，SET(Secure Electronic Transaction) 
协议 中 要 求 CA 采用 2048b 长 的 密 钥 , 其 他 实体 使 用 1024b 的 密 钥 . RSA 密 钥 长 度 随 着 


保密 级 别提 高 ， 增 加 很 快 。 因 此 ， 使 用 RSA 只 能 加 密 少量 数据 ， 大 量 的 数据 加 密 还 
对 称 密码 算法 ， 运 算 后 的 结果 也 必须 等 于 1。 


要 靠 
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4.5.3 ”其 他 常用 的 公开 密 钥 算法 


1. Diffie-Hellman 密 钥 交换 算法 

首次 发 表 的 公开 密 钥 算法 出 现在 Diffie 和 Hellman 的 论文 中 , 这 篇 影响 深远 的 论文 莫 定 
了 公开 密 钥 密码 编码 学 。 由 于 该 算法 本 身 限于 密 钥 交 换 的 用 途 ， 被 许多 商用 产品 用 作 密 铀 
交换 技术 ， 因 此 该 算法 通常 称 之 为 Diffie-Hellman 密 钥 交换 。 这 种 密 钥 交换 技术 的 目的 在 于 
使 得 两 个 用 户 安全 地 交换 一 个 秘密 密 钥 以 便 用 于 以 后 的 信息 加 密 。 

Diffie-Hellman 密 钥 交换 算法 的 有 效 性 依赖 于 计算 离散 对 数 的 难度 。 简 言 之 ， 可 以 如 下 
定义 离散 对 数 : 首先 定义 一 个 素数 p 的 原 根 ， 为 其 各 次 容 产 生 从 1 到 p-1 的 所 有 整数 根 ， 
也 就 是 说 ， 如 果 a 是 素数 p 的 一 个 原 根 ， 那 么 数值 : 

amodp, a2modp, 、、、， ap-l modp 

则 是 各 不 相同 的 整数 ， 并 且 以 某 种 排列 方式 组 成 了 从 1 到 p-1 的 所 有 整数 。 对 于 一 个 
整数 b 和 素数 p 的 一 个 原 根 a， 可 以 找到 唯一 的 指数 i， 使 得 : 

b=aimodp 其 中 0<i<(p-1) 

指数 i 称 为 b 的 以 a 为 基数 的 模 p 的 离散 对 数 或 者 指数 。 该 值 被 记 为 inda，p(b)。 

基于 此 背景 知识 ， 可 以 定义 Diffie-Hellman 密 钥 交换 算法 。 该 算法 描述 如 下 。 

(1) 有 两 个 全 局 公开 的 参数 ， 一 个 素数 q 和 一 个 整数 ， 是 q 的 一 个 原 根 。 

(2) 假设 用 户 A 和 B 和 希望 交换 一 个 密 钥 ， 用 户 A 选择 一 个 作为 私有 密 钥 的 随机 数 
XA<q， 并 计算 公开 密 钥 YA= XA mod q。A 对 XA 的 值 保密 存放 而 使 YA 能 被 B 公开 获 
得 。 类 似 地 ， 用 户 B 选择 一 个 私有 的 随机 数 XB<q， 并 计算 公开 密 钥 YB= XB mod q。 对 
XB 的 值 保密 存放 而 使 YB 能 被 A 公开 获得 。 

(3) 用 户 A 产生 共享 秘密 密 钥 的 计算 方式 是 K=(YB)XA mod q。 同样 , 用户 B 产生 共 
享 秘密 密 钥 的 计算 是 K = (YA)XB mod q。 这 两 个 计算 产生 相同 的 结果 : 

K=(YB)XA modq 
=(XB mod q)XA modq 
=(XB)XA mod q (根据 取 模 运算 规则 得 到 ) 
=XBXA modq 
=(XA)XB mod q 
=(XA mod q)XB mod q 
=(YA)XB mod q 

因此 相当 于 双方 已 经 交换 了 一 个 相同 的 秘密 密 钥 。 

(4) 因为 XA 和 XB 是 保密 的 ， 一 个 敌对 方 可 以 利用 的 参数 只 有 q、YA 和 YB。 因而 敌 

对 方 被 迫 取 离散 对 数 来 确定 密 钥 。 例 如 , 要 获取 用 户 B 的 秘密 密 钥 , 敌对 方 必须 先 计 算 XB。 
XB =ind,q(YB) 

然后 再 使 用 用 户 B 采用 的 同样 方法 计算 其 秘密 密 钥 K。 

Diffie-Hellman 密 钥 交 换算 法 的 安全 性 依赖 于 这 样 一 个 事实 : 虽然 计算 以 一 个 素数 为 模 
的 指数 相对 容易 ， 但 计算 离散 对 数 却 很 困难 。 对 于 大 的 素数 ， 计 算出 离散 对 数 几乎 是 不 可 


能 的 。 
Diffie-Hellman 算法 具有 两 个 吸引 力 的 特征 。 
(1) 仅 当 需要 时 才 生 成 密 钥 , 减 小 了 将 密 钥 存储 很 长 一 段 时 间 而 致使 遭受 攻击 的 机 会 。 


(2) 除 对 全 局 参数 的 约定 外 ， 密 钥 交换 不 需要 事先 存在 的 基础 结构 。 
然而 ， 该 技术 也 存在 许多 不 足 。 
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(1) 没有 提供 双方 身份 的 任何 信息 。 


(2) 它 是 计算 密集 性 的 ， 因 此 容易 遭受 阻塞 性 攻击 ， 即 对 手 请 求 大 量 的 密 钥 。 受 攻 刘 


者 花费 了 相对 多 的 计算 资源 来 求解 无 用 的 索 系 数 而 不 是 在 做 真正 的 了 


使 用 


(3) 没 办 法 防止 重演 攻击 。 
(4) 容易 遭受 中 间 人 的 攻击 。 


2. Oakley 算法 


Er 


Oakley 算法 是 对 Diffie-Hellman 密 钥 交 换算 法 的 优化 , 它 保留 了 后 者 的 优点 , 同时 克服 


其 弱点 。 


Oakley 算法 具有 五 个 重要 特征 。 


(1) 它 采 用 称 为 Cookie 程序 的 机 制 来 对 抗 阻塞 攻击 。 

(2) 它 使 得 双方 能 够 协商 一 个 全 局 参数 集合 。 

(3) 它 使 用 了 限时 来 保证 抵抗 重演 攻击 。 

(4) 它 能 够 交换 Diffie-Hellman 公开 密 钥 。 

(5) 它 对 Diffie-Hellman 交换 进行 鉴别 以 对 抗 中 间 人 的 攻击 。 
Oakley 可 以 使 用 三 种 个 不 同 的 鉴别 方法 。 

(1) 数字 签名 。 通 过 签署 一 个 相互 可 以 获得 的 散 列 代码 来 对 交换 进行 鉴别 ， 每 一 方 都 


自己 的 私 钥 对 散 列 代码 加 密 。 
(2) 散 列 代码 。 是 在 一 些 重要 参数 上 生成 的 ， 如 用 户 ID 和 现时 。 


(3) 公开 密 钥 加 密 。 通 过 使 用 发 送 者 的 私 钥 对 诸如 ID 和 现时 等 参数 进行 加 密 来 鉴别 
交换 。 


4.5.4 RSA 在 网 络 安全 中 的 应 用 


RSA 在 软件 方面 的 应 用 ， 主 要 集中 在 Internet 上 。 加 密 连 接 、 数 字 签 名 和 数字 证 书 的 核 
心算 法 广泛 使 用 RSA。 日常 应 用 中 ， 有 比较 著名 的 工具 包 Open SSL(Security Socket Layer) 


是 一 个 安全 传输 协议 ， 在 Internet 上 进行 数据 保护 和 身份 确认 。Open SSL 应 用 
名 和 密 钥 交换 ， 已 经 在 各 种 操作 系统 得 到 非常 广泛 的 应 用 。 另 外 ， 家 喻 户 晓 
自然 也 实现 了 SSL 协议 ， 集 成 了 使 用 RSA 技术 的 加 密 功能 ， 


RSA 实现 签 


光正 浏览 器 ， 
结合 MD5 和 SHA1， 主 要 用 


于 数字 证 书 和 数字 签名 ， 对 于 习惯 于 网 上 购物 和 使 用 网 上 银行 的 用 户 来 说 ， 几 乎 天 天 都 在 


使 


RSA 技术 。 


RSA 更 出 现在 要 求 高 度 安全 稳定 的 企业 级 商务 应 上 


不 得 不 提 及 使 用 最 广泛 的 于 
就 为 安全 和 加 密 服务 提供 了 两 组 API: JCA 和 JCE。JCA (Java Cryptography Architecture) 提 


中 。 在 当今 的 企业 级 商务 应 用 中 ， 
EF 台 J2SE(Java2 Standard Edition)。 事 实 上 ， 在 J2SE 的 标准 库 中 ， 
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供 基本 的 加 密 框 架 ， 如 证 书 、 数 字 签名 、 信 息 摘要 和 密 钥 对 产生 器 ;，JCA 由 几 个 实现 了 基 
本 的 加 密 技 术 功 能 的 类 和 接口 组 成 ， 其 中 最 主要 的 是 Java、Security 包 ， 此 软件 包 包 含 的 是 
一 组 核心 的 类 和 接口 ，Java 中 数字 签名 的 方法 就 集中 在 此 软件 包 中 。JCE(Java Cryptography 
Extension) 在 JCA 的 基础 上 作 了 扩展 , JCE 也 是 由 几 个 软件 包 组 成 , 其 中 最 主要 的 是 Javax、 
Crypto 包 ， 此 软件 包 提供 了 JCE 加 密 技术 操作 API。Javax、Crypto 中 的 Cipher 类 用 于 具体 
的 加 密 和 解密 。 在 上 述 软 件 包 的 实现 中 ， 集 成 了 应 用 RSA 算法 的 各 种 数据 加 密 规 范 (RSA 
算法 应 用 规范 介绍 参见 http://www.rsasecurity.com/rsalabs/node.asp?id=2146， 这 些 API 内 部 
支持 的 算法 不 仅仅 只 有 RSA， 但 是 RSA 是 数字 签名 和 证 书 中 最 常用 的 )， 用 户 程序 可 以 直 
接 使 用 Java 标准 库 中 提供 的 API 进行 数字 签名 和 证 书 的 各 种 操作 。 单 机 应 用 程序 使 用 RSA 
加 密 尚 比较 少见 ， 例 如 使 用 RSA 加 密 任意 一 个 文件 。 


“人 4.6 数据 加 密 技术 的 应 用 


数据 传输 必须 满足 如 下 特性 。 

保密 性 : 通过 对 一 些 敏感 的 数据 文件 进行 加 密 来 保护 系统 之 间 的 数据 交换 ， 防 止 除 接 
收 方 以 外 的 第 三 方 截获 数据 、 即 使 获取 也 无 法 解密 其 内 容 ;真实 性 : 对 数据 和 信息 的 来 源 
进行 验证 ， 以 保证 数据 由 合法 的 用 户 发 出 。 

完整 性 : 防止 非法 用 户 对 数据 进行 无 意 或 恶意 地 修改 、 插 入 ， 防 止 数 据 丢 失 和 顺序 改变 。 

不 可 否认 性 : 防止 数据 发 送 方 在 发 出 数据 后 又 加 以 否认 ， 防 止 接收 方 在 接收 到 数据 后 
又 否认 曾经 收 到 过 此 数据 及 算 改 数据 。 为 了 保证 数据 在 传输 过 程 中 满足 以 上 特性 ， 必 须 进 
行 数据 加 密 。 


4.6.1 ”信息 鉴别 与 信息 加 密 技术 


信息 鉴别 是 防御 网 络 主动 攻击 的 重要 技术 。 在 需要 通过 网 络 进行 信息 交换 时 ， 会 遇 到 
以 下 攻击 : 消息 析 取 、 通 信和 量 分 析 、 伪 装 、 内 容 算 改 、 序 号 算 改 、 计 时 算 改 和 抵赖 。 信 息 
鉴别 是 证 实 收 到 的 信息 来 自 可 信 的 源 点 且 未 被 算 改 的 过 程 ， 可 以 保证 数据 的 真实 性 和 完 
整 性 。 

信息 加 密 包 括 常 规 加 密 和 公开 密 钥 加 密 。 常 规 加 密 提供 保密 性 和 鉴别 。 公 开 密 钥 加 密 
分 为 具有 鉴别 和 签名 的 公开 密 钥 加 密 和 具有 机 密 性 和 鉴别 及 签名 的 公开 密 钥 加 密 。 

信息 鉴别 码 (MAC) 原 理 : 发 送 方 使 用 一 个 密 铀 和 特定 算法 对 明文 产生 一 个 短小 的 定 长 
数据 分 组 ， 即 MAC(Massage Authentication Code)， 并 将 它 附加 在 信息 中 。 在 接收 方 ， 使 | 
相同 密 钥 的 和 算法 对 明文 计算 MAC， 如 果 新 的 MAC 与 信息 中 的 MAC 匹配 ， 那 么 接受 者 
确信 信息 未 被 修改 过 ， 接 受 者 确信 信息 来 自 所 期 望 的 发 送 方 。 常 用 的 信息 鉴别 函数 有 如 下 
几 种 。 


1. 散 列 函数 (Hash Funtion) 
散 列 函 数 类 似 信息 鉴别 码 ， 一 个 散 列 函 数 以 一 个 变 长 的 信息 作为 输入 ， 产 生 一 个 定 长 
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的 散 列 码 作为 输出 。 散 列 码 通常 称 为 信息 摘要 (MD)。 散 列 码 是 信息 中 所 有 可 能 的 函数 值 ， 
具有 差错 检测 能 力 ， 即 信息 中 被 修改 则 散 列 码 改变 。 用 于 信息 鉴别 的 三 类 函数 具有 下 列 
性 质 


(1) 能 用 于 任何 长 度 的 数据 分 组 。 
(2) 能 产生 抵偿 的 输出 。 
(3) 对 任何 给 定 的 分 组 ， 散 列 值 容易 计算 。 
(4) 单 向 性 。 即 对 任何 给 定 散 列 值 ， 求 其 输入 值 在 计算 上 不 可 能 。 
(5) 防止 弱 抗 冲突 。 对 任何 给 定 的 分 组 ， 要 找到 一 个 不 同 的 分 组 且 与 之 有 相同 的 散 列 
值 在 计算 上 不 可 能 。 

(6) 防止 强 抗 冲突 。 寻 找 任意 两 个 分 组 对 ， 使 其 散 列 值 相同 的 计算 上 不 可 行 。 

MD 与 MAC 的 区 别 : 是 否 需要 密 钥 。 散 列 函 数 可 用 于 信息 的 完整 性 鉴别 ， 与 加 密 技术 
配合 使 用 可 以 对 信息 的 起 源 进行 鉴别 ， 还 可 以 用 于 存储 文件 的 完整 性 检验 。 


2. MD5 信息 摘要 算法 


MD5 信息 摘要 算法 是 由 Rivest( 即 RSA 中 的 R) 提 出 的 第 5 个 版 本 的 MD， 此 算法 对 任 
意 长 度 的 信息 进行 计算 ， 然 后 得 出 128 位 的 MD 代码 。 其 作用 是 将 大 容量 信息 在 数字 签名 
前 被 压缩 成 一 种 保密 的 格式 。 


3. 安全 散 列 算法 (SHA) 


安全 散 列 算法 (SHA) 是 由 美国 国家 标准 和 技术 协会 (NIST) 提 出 ， 并 作为 联邦 信息 处 理 标 
准 在 1993 年 公布 ，1995 年 又 发 布 了 一 个 修订 版 , 称 为 SHA-1。SHA-1 算法 输入 信息 的 最 大 
长 度 不 超过 2%b， 产 生 的 输出 是 一 个 160 位 的 信息 摘要 。 


4.6.2 数字 签名 技术 


数字 签名 是 提供 身份 的 认证 ， 可 以 防止 收发 双方 的 抵赖 ， 即 提供 不 可 否认 性 。 数 字 签 
名 具有 如 下 特点 。 

(D 签名 是 可 信 的 。 签 名 使 文件 的 接收 者 相信 签名 者 是 慎重 地 在 文件 上 签字 的 。 

(2) 签名 是 不 可 伪造 的 。 签 名 证 明 是 签名 者 而 不 是 其 他 人 慎重 地 在 文件 上 签字 。 

(3) 签名 是 不 可 重用 的 。 签 名 是 文件 的 一 部 分 ， 不 可 能 将 签名 移 到 不 同 的 文件 上 。 

(4) 签名 的 文件 是 不 可 改变 的 。 在 文件 签名 后 ， 文 件 不 能 改变 。 

(5) 签名 是 不 可 否认 的 。 签 名 和 文件 是 物理 存在 的 , 签名 者 事后 不 能 声称 他 没有 签 过 名 。 

根据 上 述 特点 我 们 可 以 发 现 ， 应 用 数字 签名 技术 后 ， 可 同时 保证 数据 的 真实 性 、 完 整 
性 和 不 可 否认 性 。 它 能 防止 伪造 和 算 改 信息 ; 防止 冒 用 别人 名 义 发 送信 息 ; 防止 发 出 ( 收 到 ) 
信件 后 又 加 以 否认 。 常 用 的 数字 函数 有 两 种 。 

1) ”直接 数字 签名 DDS(Direct Digital Signal) 

设 明 文 为 M; 密 钥 为 x， 签名 算法 为 Sigx(M); 验证 算法 为 Verx(M)。 

(1) A 一 B。Eska[M]， 提 供 了 鉴别 与 签名 。 特 点 是 只 有 A 具有 SKa 进行 加 密 ; 传输 
中 没有 被 算 改 ;需要 某 些 格 式 信息 /元 余 度 ; 任何 第 三 方 都 可 以 用 PKa 验证 签名 。 

(2) A 一 B。M|lEsks[H(MD)], 提供 鉴别 及 数字 签名 。 特点 是 : HIM] 收 到 密码 算法 的 保护 ; 
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只 有 A 能 够 生成 Eska[HIMJ]。 
其 缺点 是 验证 模式 依赖 于 发 送 方 的 保密 密 钥 。 
2) ”仲裁 数字 签名 ADS(Arbitration Digital Signal) 
仲裁 数字 签名 又 叫 单 密 钥 加 密 方式 ， 仲 裁 者 可 以 看 见 消息 。 分 为 两 个 步 又 。 
(1) X—A。 MIEsks[IDxIIHMW] 
(2) A 一 Y。Eska[IDxIMIIEska[IDxlIHOMDIITI] 
其 过 程 是 : X 与 A 之 间 共 享 密 钥 Kxa，Y 与 A 之 间 共 享 密 钥 Kay; X 准备 消息 M， 计 
算 其 散 列 码 HIM), 用 X 的 标识 符 IDx 和 散 列 值 构成 签名 , 并 将 消息 及 签名 经 Kxa 加 密 后 发 
送 给 A; A 机 密 签名 ， 用 H(M) 验 证 消息 M 然后 将 IDx、M、 签 名 和 时 间 一 起 经 Kay 加 密 后 
发 送 给 Y; Y 解密 A 发 来 的 信息 ， 并 可 将 M 和 签名 保存 起 来 。 
这 种 签名 的 特点 是 所 有 参与 者 必须 极 大 地 相信 这 一 仲裁 机 制 工作 正常 ， 且 高 度 信任 A。 


4.6.3 身份 认证 


为 了 保护 网 络 资源 及 落实 安全 政策 ， 需 要 提供 可 追究 责任 的 机 制 ， 这 里 便 涉及 身份 认 
证 。 身 份 认 证 与 以 下 环境 有 关 : 某 一 成 员 (声称 者 ) 提 交 一 个 主体 的 身份 并 声称 他 是 那个 主体 ， 
并 能 使 别 的 成 员 ( 验 证 者 ) 获 得 对 声称 者 所 声称 事实 的 信任 。 身 份 认证 可 以 对 抗 假冒 攻击 、 确 
保 身 份 ， 明 确 责任 。 

对 身份 认证 过 程 的 攻击 有 如 下 方式 。 

(1) 数据 流 窃听 。 由 于 认证 信息 要 通过 网 络 传递 ， 并 且 很 多 认证 系统 的 口令 是 未 经 加 
密 的 明文 ， 攻 击 者 通过 窃听 网 络 数据 ， 就 很 容易 分 辨 出 某 种 特定 系统 的 认证 数据 ， 并 提取 
出 用 户 名 和 口令 。 

(2) 复制 / 重 传 。 非 法 用 户 截获 信息 ， 然 后 再 传送 给 接收 者 。 

(3) 修改 或 伪造 。 非 法 用 户 截获 信息 ， 蔡 换 或 修改 信息 后 再 传送 给 接收 者 ， 或 者 非法 
用 户 冒 充 合法 用 户 发 送信 息 。 

为 了 判断 系统 是 否 易 受 攻击 ， 首 先 需要 了 解 系统 上 都 有 哪些 账号 。 应 进行 以 下 操作 。 

(1) 审计 系统 上 的 账号 , 建立 一 个 使 用 者 列表 , 同时 检查 路 由 , 连接 Internet 的 打印 机 、 
复印 机 和 打印 机 控制 器 等 系统 的 口令 。 

(2) 制定 管理 制度 ， 规 范增 加 账号 的 操作 ， 及 时 移 除 不 再 使 用 的 账号 。 

(3) 经 常 检查 确认 有 没有 增加 新 的 账号 ， 不 使 用 的 账号 是 否 已 被 删除 。 

(4) 对 所 有 账号 运行 口令 破解 工具 ， 以 寻找 弱 口令 或 没有 口令 的 账号 。 

(5) 当 雇 员 或 承包 人 离开 公司 时 ， 或 当 账号 不 再 需要 时 ， 应 有 严格 的 制度 保证 删除 这 
些 账号 。 


4.6.4 SSL 协议 和 SET 协议 


1. SSL 协议 
SSL 最 常用 来 保护 Web 的 安全 。 为 了 保护 存 有 敏感 信息 Web 的 服务 器 的 安全 ， 消 除 / 
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户 在 Internet 上 数据 传输 的 安全 顾虑 。 

SSL(Secure socket Layer) 安 全 套 接 协 议 ， 是 指使 用 公 钥 和 私 钥 技 术 组 合 的 安全 网 络 通信 
协议 。SSL 协议 是 网 景 公司 (Netscape) 推 出 的 基于 WEB 应 用 的 安全 协议 ，SSL 协议 指定 了 
一 种 在 应 用 程序 协议 (如 Http、Telenet、NMTP、FTP 等 ) 和 TCP/IP 协议 之 间 提 供 数 据 安全 
性 分 层 的 机 制 ， 它 为 TCP/IP 连接 提供 数据 加 密 、 服 务 器 认证 、 消 息 完整 性 以 及 可 选 的 客户 
机 认证 ， 主 要 用 于 提高 应 用 程序 之 间 数 据 的 安全 性 ， 对 传送 的 数据 进行 加 密 和 隐藏 ， 确 保 
数据 在 传送 中 不 被 改变 ， 即 确保 数据 的 完整 性 。 

SSL 以 对 称 密码 技术 和 公开 密码 技术 相 结合 ， 可 以 实现 如 下 三 个 通信 目标 。 

(1) 秘密 性 。SSL 客户 机 和 服务 器 之 间 传 送 的 数据 都 经 过 了 加 密 处 理 ， 网 络 中 的 非法 
窃听 者 所 获取 的 信息 都 将 是 无 意义 的 密 文 信息 。 

(2) 完整 性 。SSL 利用 密码 算法 和 散 列 (HASHJ 函 数 ， 通 过 对 传输 信息 特征 值 的 提取 来 
保证 信息 的 完整 性 ， 确 保 要 传输 的 信息 全 部 到 达 目的 地 ， 可 以 避免 服务 器 和 客户 机 之 间 的 
信息 受到 破坏 。 

(3) 认证 性 。 利 用 证 书 技术 和 可 信 的 第 三 方 认 证 ， 可 以 让 客户 机 和 服务 器 相互 识别 对 
方 的 身份 。 为 了 验证 证 书 持 有 者 是 其 合法 用 户 (而 不 是 冒名 用 户 ), SSL 要 求证 书 持 有 者 在 “ 握 
手 ” 时 相互 交换 数字 证 书 ， 通 过 验证 来 保证 对 方 身份 的 合法 性 。 

SSL 协议 的 实现 : 基于 OpenSSL 的 程序 可 以 被 分 为 客户 机 和 服务 器 两 个 部 分 , 使 用 SSL 
协议 使 通信 双方 可 以 相互 验证 对 方 身份 的 真实 性 ， 并 且 能 够 保证 数据 的 完整 性 和 机 密 性 。 
建立 SSL 通信 的 过 程 如 图 4.8 所 示 。 


生成 一 个 SSL 结 构 
Socket 过 程 


Socket 和 SSL 联 系 起 来 


SSL 握 手 过 程 


实现 通信 


图 4.8 建立 SSL 通信 的 过 程 

SSL 的 缺陷 :无 法 知道 在 传输 过 程 中 是 否 受 到 窃听 ; SSL 产品 的 出 口 受 到 美国 政府 的 
限制 , 我 国 的 SSL 产品 只 能 提供 512B RSA 公 钥 和 40B 对 称 密 钥 加 密 ,， 加密 强度 不 够 ; SSL 
协议 将 客户 的 信用 卡号 传送 给 商家 ， 容 易 被 心术 不 正 的 商家 欺诈 。 新 的 SSL 协议 被 命名 为 
TLS(Transport Layer Security), 安全 可 靠 性 有 所 提高 , 但 仍 不 能 消除 原 有 技术 上 的 基本 缺陷 。 

2. SET (Secure Electronic Transaction) 协 议 

为 了 实现 更 加 完善 的 电子 交易 ，MasterCard 和 Visa 联合 其 他 一 些 业 界 主流 厂商 联合 推 
出 了 一 种 规范 ， 用 来 保证 在 公共 网 络 上 银行 卡 支付 交易 的 安全 性 ， 从 而 发 布 了 SET 协议 。 
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协议 本 身 非常 复杂 ， 它 详细 、 准 确 地 反映 了 交易 各 方 之 间 存 在 的 各 种 关系 。 采 用 SET 协议 
进行 网 上 电子 交易 支付 时 ， 主 要 涉及 持 卡 人 、 商 家 、 支 付 网 关 、 发 卡 者 、 支 付 者 和 CA 认证 
共 六 方 。 持 卡 人 是 发 行者 发 行 的 支付 卡 的 授权 持 有 者 ; 发 卡 者 是 指 发 行 信用 卡 给 持 卡 者 的 
金融 机 构 ， 商 家 是 有 货物 或 服务 出 售 给 持 卡 人 的 网 上 商店 。 他 们 之 间 的 关系 如 图 4.9 所 示 。 


1 
持 卡 人 | | =| 发 卡 银行 
CA 
网 上 商店 | 支付 网 关 上 一 =| 收 单 银行 | 


图 4.9 SET 协议 支付 模型 


基于 SET 协议 在 一 般 使 用 环境 下 的 工作 步骤 如 下 。 

(1) 持 卡 人 利用 电子 商务 平台 选 定 物品 ， 并 提交 订单 。 

(2) 商家 接收 订单 ， 生 成 初始 应 答 消息 ， 数 字 签名 后 与 商家 证 书 、 支 付 网 关 证 书 一 起 
发 送 给 持 卡 人 。 

(3) 持 卡 人 对 应 答 信息 进行 处 理 ， 选 择 支付 方式 ， 确 认 订 单 ， 签 发 付款 指令 ， 将 订单 
信息 和 支付 信息 进行 双 签 名 ， 对 双 签 名 后 的 信息 和 用 支付 网 关公 钥 加 密 的 支付 信息 签名 后 
连同 自己 的 证 书 发 送 给 商家 (商家 看 不 到 持 卡 人 的 账号 信息 )。 

(4) 商家 验证 持 卡 人 证 书 和 双 签 名 后 ， 生 成 支付 认可 请 求 ， 并 连同 加 密 的 支付 信息 转 
发 给 支付 网 关 。 

(5) 支付 网 关 通 过 金融 专 网 到 发 卡 行 验证 持 卡 人 的 账号 信息 ， 并 生成 支付 认可 消息 ， 
数字 签名 后 发 给 商家 。 

(6) 商家 收 到 支付 认可 消息 后 ， 验 证 支付 网 关 的 数字 签名 ， 生 成 购买 订单 确认 信息 发 
送 给 持 卡 人 ， 至 此 交易 过 程 结束 。 商 家 发 送 货物 或 提供 服务 并 请 求 支 付 网 关 将 购物 款 从 发 
卡 银行 持 卡 人 的 账号 转账 到 收 单 银行 商家 账号 ， 支 付 网 关 通 过 金融 专 网 完成 转账 后 ， 生 成 
取款 应 答 消 息 发 送 给 商家 。 

SET 协议 的 缺陷 : SET 协议 不 能 解决 电子 商务 所 遇 到 的 全 部 问题 。SET 认证 结构 仅 适 
用 于 信用 卡 支 付 ， 对 其 他 支付 方式 有 所 限制 ，SET 协议 非常 复杂 ， 协 议 描 述 多 达 971 页 ， 
目前 国内 仅 有 少数 应 用 产品 。SET 协议 允许 开 一 “后 门 ”， 商 家 可 通过 它 获取 客户 的 信用 
卡号 码 ， 这 可 能 是 一 个 安全 隐患 。 


人 4.7 回 到 工作 场景 


经 过 筛选 ， 最 终 我 们 选择 了 TrueCrypt， 它 有 如 下 优点 : @ 兼 容 性 好 ， 在 Windows XP、 
Vista 和 Win 7 等 操作 系统 下 都 可 以 使 用 ，@) 文 件 被 加 密 后 ， 即 使 计算 机 重 装 系统 ， 也 可 以 
正常 解密 打开 ; @ 加 密 速度 非常 快 ，@ 加 密 属 于 真实 的 加 密 ， 不 是 简单 地 隐藏 文件 。 
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1. 下 载 绿 色 TrueCrypt 


该 软件 共 1.33MB， 解 压 后 就 可 以 直接 使 用 。 加 密 的 文件 可 以 脱离 操作 系统 存在 ， 不 | 


担心 重 装 系统 后 会 打 不 开 以 前 的 加 密 文件 ， 还 具有 加 密 过 程 简单 、 操 作 方 便 、 保 密 性 好 等 


诸多 优点 ， 这 些 大 家 在 使 用 过 程 中 会 慢 慢 体 会 到 。 
2. 创建 文件 保险 柜 


使 用 TrueCrypt 软件 加 密 文件 要 先生 成 一 个 一 定 大 小 的 文件 保险 柜 , 并 为 文件 保险 柜 取 


个 名 字 ( 可 以 任意 取 )。 你 可 以 把 这 个 保险 柜 放 在 任何 地 方 ， 不 建议 放 在 系统 盘 C 盘 ， 


为 


它 只 是 一 个 


重 装 系统 会 格式 化 ， 导 致 你 的 文件 丢失 。 该 文件 可 以 被 移动 ， 因 为 从 外 表 看 来 它 只 是 


普 普 通通 的 文件 。 
建立 文件 保险 柜 。 
(1) 双击 打开 软件 文件 夹 中 的 TrueCrypt.exe 主 程序 文件 ， 如 图 4.10 所 示 。 
(19 i 
GO rm fies recypt |][ SF econr 5 
文 8 全 和 吾 丰 M。 工 具 大风 
aiR ”全 到 诈 让 ”基部 ”。 刘 杂 新建 x 作 闪 -© 
司 PPTV 视 堪 ( 
国 PTV 已 > 
sm 外 | 全 国 图 
| 
Ya ,bb 上 
ma 目 se 
le ec User TeesN Peerptas necnpma 
号 I \ 
439 - 
] 8 


图 4.10 文件 保险 柜 1 


(2) 在 打开 的 程序 窗口 ， 选 择 【 加 密 卷 】 一 【创建 加 密 卷 】 命 令 ， 如 图 4.11 所 示 。 


国 Truecypt (=. 
系统 (Y) 收藏 中 工具 (0O) 设置 (G) 帮助 (H) 主页 ( 联网 ) (P) 
rn ET 3 
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(3) 弹出 如 图 4.12 所 示 对 话 框 ， 接 着 连续 两 次 单 击 【 下 一 步 】 按 钮 。 


园 TrueCrypt 加 灾 卷 g 建 向 导 


EE 


TrueCrypt 加 密 卷 创 建 向 导 
个 创建 文件 型 加 密 郑 
创建 一 个 文件 类 型 的 加 密 盘 ， 推 荐 入 门 用 户 使 用 。 
更 科 信 息 《 豆 加 
太吉 醚 奉 系 统 分 区 /设备 
好 -人 9 交 让 完 光 5 (pn 做 


三 加 密 系统 分 区 或 者 整个 系统 所 在 硬盘 


ee 
FN nh * 全 蚁 卉 
关于 系统 盘 加 害 的 更 多 信息 (联网) 


a) | 下- 步 m >| MA 
图 4.12 文件 保险 柜 3 


(4) 出 现 如 图 4.13 所 示 的 对 话 框 ， 询 问 将 要 生成 的 加 密 卷 位 置 。 单 击 后 面 的 【选择 文 
件 】 按 钮 ， 找 到 放置 文件 保险 柜 的 文件 夹 ， 然 后 在 【文件 名 】 下 拉 列 表 框 中 输入 生成 的 文 


件 保 险 柜 的 名 称 。 
国 TrueCrypt 加 客 卷 创建 向 导 Slel | 
加 密 卷 位 置 
园 指正 名 和 文件 各 
GO", an， ”| 夫 # i p| 
组 织 ”一 全 
到 PPTV 视 须 “ ， 硬盘 (4) 
国 视频 
| 图 片 到 二 EE 要 
四 玖 加 ”项 四 | 吞 回 | 并 9 
小 证 乐 。 | | “有 可 移动 存储 的 设备 (2) 
sm 过 
DVD RW BD-ROM 
洱 开 机 更 动 器 (G) 驱动 器 中 
文件 名 N: 
保存 类 型 (D: | 所 有 文件 (".) "| 
Sk Ee 


4.13 ”文件 保险 柜 4 


(5) 进入 如 图 4.14 所 示 的 窗口 ， 直 接 单 击 【 下 一 步 】 按 钮 就 可 以 了 。 不 需要 选择 其 他 
算法 。 这 样 就 够 安全 了 。 

(6) 设置 加 密 卷 (文件 保险 柜 ) 的 大 小 。 我 们 这 里 选择 生成 1GB 的 保险 柜 ， 如 图 4.15 所 
示 ， 然 后 单 击 【 下 一 步 】 按 钮 。 


(7) 设置 加 密 卷 (文件 保险 柜 ) 的 密码 ， 如 图 4.16 所 示 。 
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EE 


加 密 选 项 
三 加 密 四 法 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 
可 MAD 


Fps- 认 1 法 《Rindael, 发 表 于 1998) 可 能 被 美国 
ee 
128: 位 块 、 和 《AES-256， 发表 于 2001 


关于 AES 的 更 条 信息 《联网 ) Ht) 


Wy | <Aa® [Fs>] mi | 
y 
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加 密 卷 大 小 
Ee ey a Ge@ 
驱动 器 F:\ 的 自由 空间 大 小 为 19.31 GB 


请 指定 要 创建 A 加 密 准 的 大 小 。 
钻 其 健一 个 动态 的 《〈 称 琉 文 件 ) 容器 ， 该 参数 对 应 
该 尺寸 * 


并 最 小 的 FAT 加 密 誉 大 小 为 292KB。 最 小 的 NTFS 加 密 耸 
小 为 37921B。 


Way | < [下 -ao>] mn | 


| 


4.15 文件 保险 柜 6 
| 


名: 
厂 区 月 要 请 文件 加 
厂 显示 客 友 O) oa 
me 3 Ee 
i 二 闭 抽 不 应 到 。 
当 包 : ee 


字母 、 以 及 类 似 @ 人 ^=$*+ 六 | 
a a 


WW) | < 后 &@ [下 - 步 m>] mi | 
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(8) 这 里 可 以 设置 单纯 的 密码 ， 也 可 以 同时 选中 下 方 的 【使 用 密 钥 文件 】 复 选 框 ， 并 
选择 一 个 计算 机 里 面 的 文件 作为 密码 ， 这 是 这 个 软件 很 特殊 的 地 方 。 如 果 同 时 选择 文件 作 
为 密码 的 话 ， 你 的 文件 保险 柜 基本 上 是 无 人 能 破解 的 。 选 择 好 文件 密 钥 后 ， 依 次 单 击 【 确 
定 】 和 【下 一 步 】 按 钮 ， 如 图 4.17 所 示 。 
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04S.H. 上 他 还 是 不 德 mp3 
万 | ves 
3.88 MB 


3 ba shang langemp3 


gzaqgswma 
WMA 文件 
192 MB 


文才 和 (Ni: godis a girmp3 


4.17 文件 保险 柜 8 


(9) 单 击 【 文 件 系统 】 下 拉 列 表 框 ， 选 择 NTFS 选项 ， 然 后 单 击 【格式 化 】 按 钮 ， 如 
图 4.18 所 示 。 格 式 化 过 程 如 图 4.19 所 示 。 
[天 FOR | 
wa 


a 讽 冉 人 本] 厂 动态 j 芝 从 


隧 机 经 冲 ; 263FFD768EECEeC9e8CB2c455D559842- 厅 


EE 


二 
TR 


ss 
mmy | <Aew [zt | it | 
图 4.18 文件 保险 柜 9 


国 Tecmyp in 本 老外 导 


完成 | 33871% 。 速度 | 749Me 到 和 区 
重要 请 在 村 训 口 随机 称 动 枚 ， 浆 动 时 间 直 长 扫 好 。 这 村 全 
交加 丰 抽 1 之 度 。 


之 后 点 击 格式 化 了 找 明 剖 汗 加 室 


图 4.19 文件 保险 柜 10 
(10) 格式 化 完毕 后 , 加 密 卷 就 创建 好 了 , 进入 如 图 4.20 所 示 的 界面 , 这 里 不 要 单 击 【 下 


日 第 4 章 数据 加 密 技术 


一 步 】， 而 是 直接 单 击 【 退 出 】 按 钮 。 


- 
TrueCrypt 加 密 卷 创建 向 导 


加 密 卷 已 创建 


Be 


部 助 | < 后 8@) | 下 二 步 0 退出 


图 4.20 文件 保险 柜 11 
(11) 这 样 加 密 保险 箱 就 生成 了 ， 如 图 4.21 所 示 。 


[= [© 
GOE' Hm , sR, EF P| 
x | sv IAD ww 


组 织 ” 。 包含 到 库 中 v 。 共享” 


让 收藏 天 
有 下 载 
:| 出 
最 近 访 问 的 
movi 
同 库 
部 ppTV 视 须 ( 


二 BT 并 org mA 该 先生 的 企 总 
动 可 乐 -7.7600(E 测 过 zslhrmvb 
> 
4.21 文件 保险 柜 12 


4.8 工作 实 训 营 


4.8.1 训练 实例 


使 用 TrueCrypt 创建 一 个 保险 柜 。 

(1) 放 入 加 密 文件 后 ， 打 开 程 序 文件 TrueCryptexe， 如 图 4.22 所 示 。 
(2) 程序 界面 打开 后 。 按 照 图 4.23 所 示 的 方式 加 载 这 个 文件 保险 箱 。 
(3) 输入 密码 ， 单 击 【 载 入 】 按 钮 后 就 将 保险 箱 加 载 好 了 。 图 4.24 是 加 载 好 之 后 的 村 
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子 .可 以 看 出 [计算 机 ] 窗 口中 多 出 了 一 个 J 盘 . 在 TrueCrypt 软件 中 可 以 显示 大 小 为 0.99GB。 
ES Tmecrypt [HE 
2 -1 一 BY BD IR(O) RE(G) a(t) ED 
| x RR(E) EV IRM BH) 一 | 一 ua 大 小 让 全 
PR PTFE PT = 
a oy 本 [el: A 
广 wa < 5 
全 Er Pa 
CE Ey en 
置 最 近 访 问 的 | SR 
TREE TO es 
人 Boles er 
CE Se wy 全 by a 
L we we 38jnEe(0 | 党 | WE. 
4 于 计算 ME 痊 se 
?名 到 CC ruecryptsys tuecypta6dssy FE 司 Me 
和 I 上 [DY \ a 
己 和 加 荆 A JETRO er 
PE 娱乐 (f) -一 
Truecryptexe 各 日 区 2013/9/8 20:09 = 内 2013/9/8 2009 jg A | | 。 Ei am | 
应 月 程 序 大 小 144 MB 


4.22 ”打开 程序 文件 4.23 ”加 载 文件 保险 箱 


GO +m [| si p 
HD HEE EY IRD WM 
HR ” 。 导 生 。 和 住家 届 3 帮 训 。 中 网 并 避 关 me 
无 a 
女 wm 要 统 (CO — 
天下 本 524 GI 


aa 
df TITEL EL 
。 4 有 可 移动 存 针 的 设备 (2) 


Sd 099 GB 
ff NTFS 


图 4.24 ”加 载 完成 
打开 J 盘 并 进入 这 个 保险 柜 后 ， 便 可 直接 复制 文件 进去 ， 速 度 很 快 。 


4.8.2 工作 实践 常见 问题 解析 


(1) 保险 柜 建立 的 地 方 不 要 放 在 系统 盘 。 
就 会 丢失 这 个 保险 柜 。 


(2) 如 果 是 Windows XP 的 操作 系统 ， 需 要 在 【我 的 电脑 】 窗 口中 选择 【工具 】 一 【 文 
件 夹 选项 】 命 令 ， 切换 到 【查看 】 选 项 卡 ， 取 消 选 中 【使 用 简单 文件 夹 共享 】 复 选 框 。 否 
则 ， 在 文件 夹 属性 窗口 中 找 不 到 【安全 】 选 项 卡 ， 就 无 法 设置 防止 删除 的 权限 。 

(3) 可 以 设置 让 加 载 的 加 密 卷 (文件 保险 柜 ) 一 定时 间 不 读 写 后 自动 退出 。 在 程序 了 
E 击 【设置 】 按 钮 ， 在 下 拉 菜 单 中 选择 【参数 选项 】， 进 行 相应 的 设置 。 
(4) 如 果 使 用 密 钥 文件 的 话 ， 必 须要 考虑 这 个 密 角 文件 是 否 容易 丢失 、 更 改 。 如 果 丢 


因为 那样 重 装 系统 时 格式 化 系统 盘 (如 C 盘 ) 


[ 具 栏 
中 六 
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失 了 必须 要 创建 一 个 ,否则 是 很 危险 的 。 比 如 用 户 使 用 一 个 Word 文件 作为 密 钥 文件 , 但 是 
有 一 天 修改 了 这 个 Word 文件 , 那么 对 于 这 个 软件 来 说 ,这 个 文件 已 经 不 是 以 前 的 那个 文件 
了 ， 不 能 作为 打开 的 密 钥 了 。 建 议 使 用 不 容易 更 改 的 文件 ， 如 自己 可 以 重新 创建 的 文件 ， 
比如 记事 本 文件 。 用 户 可 以 使 用 一 段 话 或 者 一 句 话 写 入 一 个 记事 本 ， 并 把 这 个 记事 本 文件 
作为 密 钥 文件 。 那 么 哪 天 即使 这 个 密 钥 文件 丢失 ， 用 户 也 可 以 再 新 建 一 个 记事 本 文件 ， 将 
那 名 话 写 进去 (注意 ;多 一 个 空格 少 一 个 空格 都 不 行 )。 这 个 文件 就 可 以 重新 作为 密 钥 文件 了 。 


“人 本 章 习题 
一 、 选 择 题 
1. 下 列 (””) 不 是 密码 技术 发 展 的 一 个 阶段 。 
A. 古典 密码 B. 近代 密码 
C. 已 撒 密 码 D. 现代 密码 
2. 下 列 ( ， ) 不 是 SSL 协议 的 通信 目标 。 
A. 秘密 性 B. 安全 性 
C. 完整 性 D. 认证 性 
3. 下 列 ( 。”) 不 是 SET 协议 的 缺陷 。 
A. 协议 复杂 B. 不 能 解决 电子 商务 的 全 部 问题 
C. 仅 适 用 于 信用 卡 支付 D. 容易 被 破解 
二 、 思 考题 


1. 如 何 破 解 包括 恺 撤 密码 在 内 的 单字 母 蔡 换 密 码 ? 
2. TrueCrypt 软件 如 何 防止 误 删 ? 


等 本章 要 点 


本 章 主要 学 习 防 火 墙 技术 ， 要 点 如 下 。 
国 了解 防火 墙 基本 知识 。 
国 熟悉 常用 的 防火 墙 。 
图 ”防火 墙 的 设置 方法 。 


国学 会 设置 简单 的 防火 墙 。 


加 ”基本 掌握 防火 墙 的 设置 方法 ， 并 能 够 依 j 


设计 不 同 的 名 片 。 
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3 5.1 工作 场景 导入 


Sadness 公司 遭受 到 来 自 外 界 的 大 量 碎片 (Fragments) 攻 击 ， 同 时 还 伴随 着 大 量 的 ICMP 
报 文 和 TCP SYN 攻击 。 同 时 ， 为 了 限制 员工 使 用 Internet， 公 司 主管 希望 外 部 网 络 仅 能 在 
员工 在 上 班 前 后 一 个 小 时 和 午休 时 间 可 以 使 用 ,其 他 时 间 只 能 使 用 内 部 网 络 。 图 5.1 所 示 的 
是 Sadness 公司 的 网 络 边 界 拓扑 图 。 

虽然 提出 了 众多 的 要 求 ， 但 公司 却 因为 一 些 原因 没有 足够 的 经 费 进 行 网 络 升级 和 改造 ， 
因此 公司 领导 希望 网 络 管理 员 能 够 通过 廉价 的 方式 来 达到 公司 的 这 些 要 求 。 

引导 问题 : 网 络 管理 员 怎样 做 才能 满足 公司 的 要 求 ? 


Internet 


核心 网 络 数据库 服 务 器 
Ee 


边界 路 由 器 、_ 本 
a 


文件 服务 器 
打印 服务 器 全 二 
DD 号 


图 5.1 Sadness 公司 的 网 络 边界 拓扑 图 


内 部 办 公 网 络 


“5.2 防火 墙 概述 


5.2.1 防火墙 的 基本 知识 


防火 墙 (Fire WalD) 是 一 种 形象 的 说 法 ， 其 实 它 是 一 种 计算 机 硬件 和 软件 的 组 合 ， 是 指 在 
外 部 网 与 内 部 网 之 间 建 立 起 一 个 安全 网 关 (Security Gateway), 从 而 保护 内 部 网 免 受 非法 用 户 
的 侵入 。 简单 地 说 , 它 其 实 就 是 一 个 把 互联 网 与 内 部 网 (通常 是 局 域 网 或 城 域 网 ) 隔 开 的 屏障 。 
防火 墙 能 增强 机 构 内 部 网 络 的 安全 性 。 防 火 墙 系统 决定 了 哪些 内 部 服务 可 以 被 外 界 访 
问 ， 外 界 的 哪些 人 可 以 访问 内 部 的 服务 以 及 哪些 外 部 服务 可 以 被 内 部 人 员 访 问 。 防 火 墙 必 
须 只 允许 授权 的 数据 通过 ， 而 且 防 火 墙 本 身 也 必须 能 够 免 于 渗透 。 
防火 墙 如 果 从 实现 方式 上 来 分 ， 又 分 为 硬件 防火 墙 和 软件 防火 墙 两 类 。 我 们 通常 意义 
上 讲 的 防火 墙 是 指 硬件 防火 墙 ， 它 是 通过 硬件 和 软件 的 结合 来 达到 隔离 内 、 外 部 网 络 的 目 
内 ， 价 格 较 贵 ， 但 效果 较 好 ， 一 般 小 型 企业 和 个 人 很 难 实现 ， 软 件 防火 墙 它 是 通过 纯 软件 
的 方式 来 达到 ， 价 格 很 便宜 ， 但 这 类 防火 墙 只 能 通过 一 定 的 规则 来 达到 限制 一 些 非法 用 户 
访问 内 部 网 的 目的 。 现在， 软件 防火 墙 主 要 有 天 网 防火 墙 个 人 版 及 企业 版 、Norton 的 个 人 
版 及 企业 版 防火 墙 。 
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5.2.2 防火墙 的 功能 


1. 防火 墙 是 网 络 安全 的 屏障 


一 个 防火 墙 (作为 阻塞 点 、 控 制 点 ) 能 极 大 地 提高 一 个 内 部 网 络 的 安全 性 ， 并 通过 过 滤 不 
安全 的 服务 而 降低 风险 。 由 于 只 有 经 过 精心 选择 的 应 用 协议 才能 通过 防火 墙 ， 因 此 网 络 环 
境 变 得 更 安全 。 如 防火 墙 可 以 禁止 诸如 众所周知 的 不 安全 的 NFS 协议 进出 受 保护 网 络 ， 这 
样 外 部 的 攻击 者 就 不 可 能 利用 这 些 脆弱 的 协议 来 攻击 内 部 网 络 。 防 火 墙 同时 可 以 保护 网 络 
免 受 基于 路 由 的 攻击 ， 如 IP 选项 中 的 源 路 由 攻击 和 ICMP 重 定向 中 的 重 定向 路 径 。 防 火 墙 
应 该 可 以 拒绝 所 有 以 上 类 型 攻击 的 报 文 并 通知 防火 墙 管理 员 。 


2. 防火 墙 可 以 强化 网 络 安全 策略 


通过 以 防火 墙 为 中 心 的 安全 方案 配置 ， 能 将 所 有 安全 软件 (如 口令 、 加 密 、 身 份 认证 、 
审计 等 ) 配 置 在 防火 墙 上 。 与 将 网 络 安全 问题 分 散 到 各 个 主机 上 相 比 ， 防 火 墙 的 集中 安全 管 
理 更 经 济 。 例 如 在 网 络 访问 时 ， 一 次 一 密 口 令 系 统 和 其 他 的 身份 认证 系统 完全 可 以 不 必 分 
散在 各 个 主机 上 ， 而 集中 在 防火 墙 身上 。 

3. 对 网 络 存 取 和 访问 进行 监控 审计 

如 果 所 有 访问 都 经 过 防火 墙 ， 那 么 ， 防 火 墙 就 能 记录 下 这 些 访问 并 作 日 志 记录 ， 同 时 
也 能 提供 网 络 使 用 情况 的 统计 数据 。 当 发 生 可 疑 动作 时 ， 防 火 墙 能 进行 适当 的 报警 ， 并 提 
供 网 络 是 否 受 到 监测 和 攻击 的 详细 信息 。 另 外 ， 收 集 一 个 网 络 的 使 用 和 误 用 情况 也 是 非常 
重要 的 。 首 先 的 理由 是 可 以 清楚 防火 墙 是 否 能 够 抵挡 攻击 者 的 探测 和 攻击 ， 并 且 清 楚 防火 
墙 的 控制 是 否 充足 。 而 网 络 使 用 统计 对 网 络 需求 分 析 和 威胁 分 析 等 而 言 也 是 非常 重要 的 。 


4. 防止 内 部 信息 的 外 泄 


通过 利用 防火 墙 对 内 部 网 络 的 划分 ， 可 实现 内 部 网 重点 网 段 的 隔离 ， 从 而 限制 了 局 部 
重点 或 敏感 网 络 安全 问题 对 全 局 网 络 造成 的 影响 。 再 者 ， 隐 私 是 内 部 网 络 非 常 关心 的 问题 ， 
一 个 内 部 网 络 中 不 引 人 注 意 的 细节 可 能 包含 了 有 关 安 全 的 线索 ， 从 而 引起 外 部 攻击 者 的 兴 
趣 ， 甚 至 因此 暴露 了 内 部 网 络 的 某 些 安全 漏洞 。 使 用 防火 墙 就 可 以 隐蔽 那些 内 部 的 细节 如 
Finger，DNS 等 服务 。Finger 显示 了 主机 的 所 有 用 户 的 注册 名 、 真 名 、 最 后 登录 时 间 、 使 有 
Shell 类 型 等 。 但 是 Finger 显示 的 信息 非常 容易 被 攻击 者 所 获悉 。 攻 击 者 可 以 知道 一 个 系统 
使 用 的 频繁 程度 ， 这 个 系统 是 否 有 用 户 正在 连 线 上 网 ， 这 个 系统 是 否 在 被 攻击 时 引起 注意 
等 等 。 防火 墙 可 以 同样 阻塞 有 关内 部 网 络 中 的 DNS 信息 , 这 样 一 台 主 机 的 域名 和 IP 地址 就 
不 会 被 外 界 所 了 解 。 

除了 安全 作用 外 ， 防 火 墙 还 支持 具有 Internet 服务 特性 的 企业 内 部 网 络 技术 体系 VPN。 
通过 VPN, 将 企 事 业 单位 在 地 域 上 分 布 在 全 世界 各 地 的 LAN 或 专用 子 网 ， 有 机 地 联 成 一 个 
整体 。 不 仅 省 去 了 专用 通信 线路 ， 而 且 为 信息 共享 提供 了 技术 保障 。 
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5.2.3 ”防火 墙 的 局 限 性 


防火 墙 的 十 大 局 限 性 如 下 。 

(1) 防火 墙 不 能 防范 不 经 过 防火 墙 的 攻击 。 没 有 经 过 防火 墙 的 数据 ， 防 火 墙 无 法 检查 。 

(2) 防火 墙 不 能 解决 来 自 内 部 网 络 的 攻击 和 安全 问题 。 防 火 墙 可 以 设计 为 既 防 外 也 防 
内 ， 谁 都 不 可 信 ， 但 绝 大 多 数 单位 因为 不 方便 ， 不 要 求 防火 墙 防 内 。 

(3) 防火 墙 不 能 防止 因 策 略 配置 不 当 或 错误 配置 引起 的 安全 威胁 。 防 火 墙 是 一 个 被 动 
的 安全 策略 执行 设备 ， 就 像 门卫 一 样 ， 要 根据 政策 规定 来 执行 安全 ， 而 不 能 自作 主张 。 

(4) 防火 墙 不 能 防止 可 接触 的 人 为 或 自然 的 破坏 。 防 火 墙 是 一 个 安全 设备 ， 但 防火 墙 
本 身 必须 存在 于 一 个 安全 的 地 方 。 

(5) 防火 墙 不 能 防止 利用 标准 网 络 协议 中 的 缺陷 进行 的 攻击 。 一 旦 防火 墙 准许 某 些 标 
准 网 络 协议 ， 防 火 墙 不 能 防止 利用 该 协议 中 的 缺陷 进行 的 攻击 。 
(6) 防火 墙 不 能 防止 利用 服务 器 系统 漏洞 所 进行 的 攻击 。 黑 客 通过 防火 墙 准许 的 访问 
端口 对 该 服务 器 的 漏洞 进行 攻击 ， 防 火 墙 不 能 防止。 
(7) 防火 墙 不 能 防止 受 病毒 感染 的 文件 的 传输 。 防 火 墙 本 身 并 不 具备 查 杀 病毒 的 功能 ， 
即使 集成 了 第 三 方 的 防 病毒 的 软件 ， 也 没有 一 种 软件 可 以 查 杀 所 有 的 病毒 。 
(8) 防火 墙 不 能 防止 数据 驱动 式 的 攻击 。 当 有 些 表 面 看 来 无 害 的 数据 邮寄 或 复制 到 内 
部 网 的 主机 上 并 被 执行 时 ， 可 能 会 发 生 数据 驱动 式 的 攻击 。 

(9) 防火 墙 不 能 防止 内 部 的 泄密 行为 。 防 火 墙 内 部 的 一 个 合法 用 户主 动 泄密 ， 防 火 墙 
是 无 能 为 力 的 。 

(10) 防火 墙 不 能 防止 本 身 的 安全 漏洞 的 威胁 。 防 火 墙 保护 别人 有 时 却 无 法 保护 自己 ， 
目前 还 没有 厂商 绝对 保证 防火 墙 不 会 存在 安全 漏洞 。 因 此 对 防火 墙 也 必须 提供 某 种 安全 
保护 。 
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5.3.1 硬件 防火 墙 和 软件 防火 墙 


防火 墙 大 致 分 为 硬件 防火 墙 和 软件 防火 墙 。 

硬件 防火 墙 是 指 把 防火 墙 程序 做 到 芯片 里 面 ， 由 硬件 执行 这 些 功 能 ， 能 减少 CPU 的 负 
担 ， 使 路 由 更 稳定 。 硬 件 防火 墙 一 般 都 有 WAN、LAN 和 DMZ 三 个 端口 ， 还 具有 各 种 安全 
功能 ， 价 格 比较 高 ， 企 业 以 及 大 型 网 络 使 用 得 比较 多 。 如 图 5.2 所 示 。 

软件 防火 墙 其 实 就 是 安全 防护 软件 ， 比 如 天 网 防火 墙 、 金 山 网 镖 、 蓝 盾 防 火 墙 等 。 软 
件 防 火 墙 的 特点 是 : 仅 获得 Firewall 软件 ， 需 要 准备 额外 的 OS 平台 ; 安全 性 依赖 低层 的 
OS; 网 络 适应 性 弱 ( 主 要 以 路 由 模式 工作 ); 稳定 性 高 ;软件 分 发 、 升 级 比较 方便 。 

硬件 软件 防火 墙 的 特点 是 : 硬件 + 软件 ， 不 用 准备 额外 的 OS 平台 ; 安全 性 完全 取决 于 


' 
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专用 的 OS; 网 络 适 应 性 强 (支持 多 种 接 入 模式 ); 稳定 性 较 高 ， 升 级 、 更 新 不 太 灵 活 。 


THE 


图 5.2 硬件 防火 墙 


5.3.2 单机 防火 墙 和 网 络 防火 墙 


按 保护 对 象 分 类 ， 可 以 分 为 单机 防火 墙 和 网 络 防火 墙 。 网 络 防火 墙 是 保护 整个 网 络 ; 
而 单机 防火 墙 是 为 了 保护 单一 的 计算 机 。 如 图 5.3 和 图 5.4 所 示 。 


AN 


保护 整个 网 络 | 若 ey (23 
a NE 
Jnternet Internet 
保护 单 台 主机 
图 5.3 网 络 防火 墙 图 5.4 “单机 防火 墙 


单机 防火 墙 的 特点 : 保护 单 台 主 机 ; 安全 策略 分 散 ， 安 全 功能 简单 ， 普 通用 户 维护 ; 
安全 隐患 较 大 ， 策 略 设置 灵活 。 

网 络 防火 墙 的 特点 : 网 络 保护 整个 网 络 ， 安 全 策略 集中 ; 安全 功能 复杂 多 样 ， 专 业 管 
理 员 维护 ;安全 隐患 小 ;策略 设置 复杂 。 


上 嵌 


5.3.3 ”防火 墙 的 体系 结构 


根据 处 理 数 据 的 方式 ， 防 火 墙 通常 可 分 为 主机 防火 墙 、 包 过 滤 防 火 墙 、 电 路 层 防火 墙 、 
用 代理 防火 墙 、 状 态 检测 防火 墙 等 几 类 。 
1. 主机 防火 墙 
主机 防火 墙 通常 用 于 保护 单一 主机 而 建立 的 防火 墙 ， 可 以 看 作 是 主机 的 外 壳 ， 通 常 这 
种 防火 墙 通过 使 用 者 定义 的 允许 出 站 、 入 站 的 流量 规则 进行 过 滤 ， 并 且 很 多 公司 的 产品 默 
认 支 持 不 同等 级 的 防范 策略 。 即 便 是 在 Linux 中 ， 安 装 时 同样 可 以 选择 基于 Iptables 的 防火 
墙 产品 。 但 是 对 于 一 个 大 型 网 络 而 言 ， 虽 然 每 台 主机 都 拥有 防火 墙 ， 但 却 无 法 及 时 地 对 这 
些 防 火 墙 的 策略 进行 同步 ， 因 此 安全 漏洞 极 大 。 

2. 包 过 滤 防 火 墙 

通常 这 类 防火 墙 基于 一 些 网 络 设备 (如 路 由 器 、 交 换 机 等 )， 通 过 一 系列 访问 控制 列表 


局 
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(Access List、ACL) 来 控制 数据 包 的 转发 策略 ， 通 常 这 些 策略 工作 在 OSI 模型 的 全 层 ， 如 
图 5.5 所 示 。 


入 站 流量 


站 主 的 出 站 流量 
图 5.5 包 过 滤 防 火 墙 

包 过 滤 防 火 墙 的 优点 是 : 不 用 改动 应 用 程序 、 一 个 过 滤 路 由 器 能 协助 保护 整个 网 络 、 
数据 包 过 滤 对 用 户 透 明 、 过 滤 路 由 器 速度 快 、 效 率 高 。 但 缺点 也 很 明显 ， 它 不 能 彻底 防止 
地 址 欺骗 ， 一 些 应 用 协议 不 适合 于 数据 包 过 滤 ; 正常 的 数据 包 过 滤 路 由 器 无 法 执行 某 些 安 
全 策略 ， 安 全 性 较 差 ， 数 据 包 工具 存在 很 多 局 限 性 。 

在 某 些 情况 下 可 以 用 于 攻击 的 应 急 处 理 ， 以 及 某 些 应 用 的 过 滤 。 

3. 电路 层 防 火 墙 
电路 层 防 火 墙 通常 工作 在 OSI 模型 的 第 3 层 (会 话 层 ), 它 通过 监控 会 话 建立 是 否 合理 来 
进行 相应 的 过 滤 。 这 种 模式 下 ， 仅 在 内 部 链接 和 外 部 链接 之 间 来 回复 制 字 节 ， 因 此 所 有 会 
话 均 起 源 于 这 个 防火 墙 , 对 外 部 网 络 而 言 , 起 到 了 隐藏 内 部 网 络 细节 的 作用 , 如 图 5.6 所 示 。 


禁止 流量 ， 丢 弃 
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图 5.6 电路 层 防火 墙 


4. 应 用 代理 防火 墙 

应 用 代理 防火 墙 通常 工作 在 OSI 模型 中 的 应 用 层 ， 和 我 们 常 说 的 代理 服务 器 原理 相同 ， 

并 且 防 火 墙 需要 为 每 一 种 服务 器 创建 一 个 进程 ， 让 外 部 网 络 看 上 去 是 在 运行 一 个 终端 系统 。 
通过 一 系列 进程 映射 ， 将 对 外 会 话 和 对 内 会 话 联系 起 来 。 而 且 ， 它 还 可 用 来 保持 一 个 所 

有 应 用 程序 使 用 的 记录 。 记 录 和 控制 所 有 进出 流量 的 能 力 是 应 用 层 网 关 的 主要 优点 之 一 ， 

如 图 5.7 所 示 。 

5. 状态 检测 防火 墙 

状态 检测 防火 墙 通过 对 OSI 模型 顶部 4 层 (应 用 层 、 表 示 层 、 会 话 层 、 传 输 层 ) 的 策略 分 
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析 进 行 过 滤 ， 相 当 于 以 上 3 种 防火 墙 的 结合 体 。 状 态 检测 防火 墙 虽然 集成 了 前 3 者 的 特点 ， 
但 它 实 现 应 用 层 防 火 墙 的 模式 与 前 述 不 同 。 状 态 检测 防火 墙 并 不 破坏 客户 机 /服务 器 模型 来 
分 析 应 用 层 数据 ， 它 允许 受信 任 的 客户 机 和 不 受信 任 的 主机 进行 直接 通信 ， 如 图 5.8 所 示 。 


从 理论 上 讲 ， 状 态 检 测 防火 墙 拥有 更 高 的 安全 性 。 
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图 5.7 应 用 代理 防火 墙 
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图 5.8 状态 检测 防火 墙 


5.3.4 ”防火 墙 技术 分 类 
1. 分 组 过 泪 路 由 器 


原理 :作为 内 外 网 连接 的 唯一 通道 ， 要 求 所 有 报 文 都 必须 在 此 通过 检查 。 通 过 在 分 组 
过 滤 路 由 器 上 安装 基于 IP 层 的 报 文 过 滤 软件 ， 就 可 以 利用 过 滤 规 则 实现 报 文 过滤 功 能 。 如 


图 5.9 所 示 。 
优点 : 简 法 、 方 便 、 速 度 快 、 费 用 低 ， 并 对 用 户 透 明 。 


缺点 : 在 单机 上 实现 ， 是 网 络 中 的 “ 单 失效 点 ”; 不 支持 有 效 的 用 户 认证 ， 不 提供 有 


用 的 日 志 ， 安 全 性 低 。 
2. 双 宿 主机 


原理 : 在 被 保护 网 络 和 Internet 之 间 设 置 一 个 具有 双 网 卡 的 “堡垒 ”主机 ，IP 层 的 通信 
完全 被 阻止 ， 两 个 网 络 之 间 的 通信 可 以 通过 应 用 层 数 据 共享 或 应 用 层 代 理 服务 来 完成 。 通 
常 采用 代理 服务 的 方法 ，“ 双 宿 ”主机 上 运行 着 防火 墙 软件 ， 可 以 转发 应 用 程序 和 提供 服 


务 。 如 图 5.10 所 示 。 


优点 :“ 双 宿 ” 主 机 的 系统 软件 可 用 于 身份 认证 和 维护 系统 日 志 ， 有 利于 进行 安全 审计 。 


缺点 : 该 方式 的 防火 墙 仍然 是 网 络 的 “ 单 失效 点 ”; 隔离 了 一 切 内 部 网 与 Internet 的 直 


接连 接 ， 不 适合 于 一 些 高 灵活 性 要 求 的 场合 。 
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图 5.9 分 组 过 滤 路 由 器 图 5.10 双 宿主 机 
3. 屏蔽 主机 


原理 : 一 个 分 组 过 滤 路 由 器 连接 外 部 网 络 ， 同 时 一 个 运行 网 关 软 件 的 “ 双 宿 ”主机 安 
装 在 内 部 网 络 。 通 常 在 路 由 器 上 设立 过 滤 规 则 ， 使 这 个 堡垒 主机 成 为 从 外 部 唯一 可 直接 到 
达 的 主机 。 如 图 5.11 所 示 。 

优点 : 提供 了 安全 等 级 较 高 ， 因 为 它 实现 了 网 络 层 安全 ( 包 过 滤 ) 和 应 用 层 安 全 (代理 服 
务 )。 缺 点 : 过滤 路 由 器 是 否 正确 配置 是 这 种 防火 墙 安 全 与 否 的 关键 。 过 滤 路 由 器 的 路 由 表 
应 当 受 到 严格 的 保护 ， 如 果 路 由 表 遭 到 破坏 ， 则 “堡垒 ”主机 就 有 被 “越过 ”的 危险 。 
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图 5.11 屏蔽 主机 
4. 屏蔽 子 网 


原理 : 最 安全 的 防火 墙 系统 ， 它 在 内 部 网 络 和 外 部 网 络 之 间 建 立 一 个 被 隔离 的 子 网 ， 
称 为 非 军事 区 ， 即 DMZ(Demilitarized Zone)。 在 很 多 实现 中 ， 两 个 分 组 过 滤 路 由 器 放 在 子 
网 的 两 端 ， 内 部 网 络 和 外 部 网 络 均 可 访问 被 屏蔽 子 网 ， 但 禁止 它们 穿 过 被 屏蔽 子 网 通信 。 
通常 ， 将 堡 又 主机 和 各 种 信息 服务 器 等 公用 服务 器 放 于 DMZ 中 。 如 图 5.12 所 示 。 

缺点 : 堡垒 主机 通常 是 黑客 集中 攻击 的 目标 ， 如 果 没 有 DMZ， 入 侵 者 控制 堡垒 主机 后 
就 可 以 监听 整个 内 部 网 络 的 会 话 。 
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5.12 ”屏蔽 子 网 


5.3.5 防火墙 CPU 构架 分 类 


通常 ， 按 照 防火 墙 CPU 构架 分 类 可 以 将 防火 墙 分 为 X86 架构 防火 墙 、ASIC 架构 防火 
墙 和 NP 架构 防火 墙 3 类 。 


1. X86 架构 


X86 架构 采用 通用 CPU 和 PCI 总 线 接 口 ， 具 有 很 高 的 灵活 性 和 可 扩展 性 ， 过 去 一 直 是 
防火 墙 开发 的 主要 平台 。 其 产品 功能 主要 由 软件 实现 ， 可 以 根据 用 户 的 实际 需要 而 做 相应 
调整 ， 增 加 或 减少 功能 模块 ， 产品 比较 灵活 ， 功 能 十 分 丰富 。 最 初 的 千 兆 防火 墙 是 基于 X86 
架构 。 

但 其 性 能 发 展 却 受到 体系 结构 的 制约 ， 作 为 通用 的 计算 平台 ，X86 的 结构 层次 较 多 ， 
不 易 优 化 , 且 往 往 会 受到 PCI 总 线 的 带宽 限制 。 虽 然 PCI 总 线 接口 理论 上 能 达到 接近 2Gbps 
的 吞吐 量 ， 但 是 通用 CPU 的 处 理 能 力 有 限 ， 尽 管 防火 墙 软件 部 分 可 以 尽 可 能 地 优化 ， 很 难 
达到 千 兆 速率 。 同 时 很 多 X86 架构 的 防火 墙 是 基于 定制 的 通用 操作 系统 ， 安 全 性 很 大 程度 
上 取决 于 通用 操作 系统 自身 的 安全 性 ， 可 能 会 存在 安全 漏洞 。 

基于 X86 架构 防火 墙 的 典型 代表 是 Cisco 系统 防火 墙 产品 ， 图 5.13 所 示 的 是 Cisco 的 
ASA 系列 防火 墙 产品 。 


图 5.13 Cisco ASA 系列 防火 墙 产品 


2. ASIC 架构 

相 比 之 下 , ASIC 防火 墙 通过 专门 设计 的 ASIC 芯片 逻辑 进行 硬件 加 速 处 理 。 ASIC 通过 
把 指令 或 计算 逻辑 固化 到 芯片 中 ， 获 得 了 很 高 的 处 理 能 力 ， 因 而 明显 提升 了 防火 墙 的 性 能 。 
新 一 代 的 高 级 可 编程 ASIC 采用 了 更 灵活 的 设计 ， 能 够 通过 软件 改变 应 用 逻辑 ， 具 有 更 广泛 
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的 适应 能 力 。 但 是 ，ASIC 的 缺点 也 同样 明显 ， 它 的 灵活 性 和 扩展 性 不 够 ， 开 发 费用 高 ， 
发 周期 太 长 。 
虽然 研发 成 本 较 高 ， 灵 活性 受 限制 、 无 法 支持 太 多 的 功能 ， 但 其 性 能 具有 先天 的 优势 ， 
非常 适合 应 用 于 模式 简单 、 对 吞吐 量 和 时 延 指标 要 求 较 高 的 大 流量 信息 处 理 。 
ASIC 架构 防火 墙 以 Juniper 公司 的 NetScreen 产品 为 代表 ， 如 图 5.14 所 示 。 


| 


5.14 NetScreen 防火 墙 
3. NP 架构 


NP 架构 可 以 说 是 介 于 X86 架构 与 ASIC 架构 两 者 之 间 的 技术 ，NP 是 专门 为 网 络 设备 
处 理 网 络 流量 而 设计 的 处 理 器 ， 其 体系 结构 和 指令 集 对 于 防火 墙 常用 的 包 过 滤 、 转 发 等 算 
法 和 操作 都 进行 了 专门 的 优化 ， 可 以 高 效 地 完成 TCP/IP 栈 的 常用 操作 ， 并 对 网 络 流量 进行 
快速 的 并 发 处 理 。 硬件 结构 设计 也 大 多 采用 高 速 的 接口 技术 和 总 线 规范 , 具有 较 高 的 1O 能 
力 。 它 可 以 构建 一 种 硬件 加 速 的 完全 可 编程 的 架构 ， 这 种 架构 的 软 硬 件 都 易于 升级 ， 软 件 
可 以 支持 新 的 标准 和 协议 ， 硬 件 设 计 支 持 更 高 网 络 速度 ， 从 而 使 产品 的 生命 周期 更 长 。 由 
于 防火 墙 处 理 的 就 是 网 络 数据 包 ， 因 此 基于 NP 架构 的 防火 墙 与 X86 架构 的 防火 墙 相 比 ， 
性 能 得 到 了 很 大 的 提高 。 
NP 架构 通过 专门 的 指令 集 和 配套 的 软件 开发 系统 ， 提 供 强 大 的 编程 能 力 ， 因 而 便于 
发 应 用 ， 支 持 可 扩展 的 服务 ， 而 且 研 制 周期 短 ， 成 本 较 低 。 但 是 ， 相 比 于 X86 架构 ， 由 于 
用 开发 、 功 能 扩展 受到 NP 的 配套 软件 的 限制 , 基于 NP 技术 的 防火 墙 的 灵活 性 要 差 一 些 。 
由 于 依赖 软件 环境 ， 因 此 在 性 能 方面 NP 不 如 ASIC。NP 开发 的 难度 和 灵活 性 都 介 于 ASIC 
和 X86 构架 之 间 ， 应 该 说 ，NP 是 X86 架构 和 ASIC 之 间 的 一 个 折 中 。 

NP 架构 主要 出 现在 国内 很 多 厂商 的 防火 墙 设备 上 , 例如 东软 NetEye 防火 墙 , 如 图 5.15 
所 示 。 


时 名 


图 5.15 东软 NP 防火 墙 


从 上 面 分 析 可 以 看 出 ，X86 架构 、NP 和 ASIC 各 有 优 缺 点 。X86 架构 灵活 性 最 高 ， 新 
功能 、 新 模块 扩展 容易 ， 但 性 能 肯定 满足 不 了 千 兆 需要 。ASIC 性 能 最 高 ， 千 兆 、 万 兆 吞 吐 
速率 均 可 实现 ， 但 灵活 性 最 低 ， 定 型 后 再 扩展 十 分 困难 。NP 则 介 于 两 者 之 间 ， 性 能 可 满足 
千 兆 需要 ， 同 时 也 具有 一 定 的 灵活 性 。 
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“人 Y 5.4 防火墙 实现 技术 原理 


5.4.1 包 过 滤 防 火 墙 


通常 这 类 防火 墙 基于 一 些 网 络 设备 (如 路 由 器 、 交 换 机 等 )， 通 过 一 系列 访问 控制 列表 


(Access List，ACL) 来 控制 数据 包 的 转发 策略 ， 通 常 这 些 策 略 工作 在 OSI 模型 的 IP 层 ， 


图 5.16 所 示 。 


包 过 滤 防 火 墙 的 优点 是 : 可 改动 应 用 程序 ， 一 个 过 滤 路 由 器 能 协助 保护 整个 网 络 、 


如 


数 


据 包 过 滤 对 用 户 透明 ;过滤 路 由 器 速度 快 ， 效 率 高 。 但 缺点 也 很 明显 : 它 不 能 彻底 防止 地 


策略 ， 安 全 性 较 差 ， 数 据 包 工具 存在 很 多 局 限 性 。 


详细 介绍 。 


允 译 的 出 站 流量 


图 5.16 包 过 滤 防 火 墙 


5.4.2 ”代理 防火 墙 


址 欺骗 ， 一 些 应 用 协议 不 适合 于 数据 包 过 滤 ; 正常 的 数据 包 过 滤 路 由 器 无 法 执行 某 些 安全 


在 某 些 情况 下 可 以 用 于 攻击 的 应 急 处 理 ， 以 及 某 些 应 用 的 过 滤 ， 在 后 面 的 例子 中 将 会 


通常 应 用 代理 防火 墙 工作 在 OSI 模型 中 的 应 用 层 ， 和 我 们 常 说 的 代理 服务 器 原理 相同 ， 
并 且 防 火 墙 需要 为 每 一 种 服务 器 创建 一 个 进程 ， 让 外 部 网 络 看 上 去 是 在 运行 一 个 终端 系统 。 


通过 一 系列 进程 映射 ， 将 对 外 会 话 和 对 内 会 话 联系 起 来 。 而 且 ， 它 还 可 用 来 保持 一 个 所 


有 应 用 程序 使 用 的 记录 。 记 录 和 控制 所 有 进出 流量 的 能 力 是 应 用 层 网 关 的 主要 优点 之 一 ， 


如 图 5.17 所 示 。 


入 站 流量 


> 
对 许 的 出 站 流量 


5.17 ”应 用 代理 防火 墙 
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5.4.3 ”复合 型 防火 墙 


由 于 对 更 高 安全 性 的 要 求 ， 常 把 基于 包 过 滤 的 方法 与 基于 应 用 代理 的 方法 结合 起 来 ， 
形成 复合 型 防火 墙 产品 。 这 种 结合 通常 是 以 下 两 种 方案 。 

(1) 屏蔽 主机 防火 墙 体系 结构 。 在 该 结构 中 , 分 组 过 滤 路 由 器 或 防火 墙 与 Intemet 相连 ， 
同时 一 个 堡 又 机 安装 在 内 部 网 络 ， 通 过 在 分 组 过 滤 路 由 器 或 防火 墙 上 过 滤 规 则 的 设置 ， 使 
煲 垒 机 成 为 Internet 上 其 他 节点 所 能 到 达 的 唯一 节点 , 这 确保 内 部 网 络 不 受 未 授权 外 部 用 户 
的 攻击 。 

(2) 屏蔽 子 网 防火 墙 体系 结构 。 堡 又 机 放 在 一 个 子 网 内 ， 形 成 非 军事 化 区 ， 两 个 分 组 
过 滤 路 由 器 放 在 这 一 子 网 的 两 端 ， 使 这 一 子 网 与 Internet 及 内 部 网 络 分 离 。 在 屏蔽 子 网 防火 
墙 体系 结构 中 ，“ 双 宿 ” 主 机 和 分 组 过 滤 路 由 器 共同 构成 了 整个 防火 墙 的 安全 基础 。 


人 3，5.5 防火墙 的 应 用 


5.5.1 瑞星 个 人 防火 墙 的 应 用 


针对 互联 网 上 大 量 出 现 的 恶意 病毒 、 挂 马 网 站 和 钓鱼 网 站 等 , 瑞星 “智能 云 安全 ”系统 可 
自动 收集 、 分 析 、 处 理 ， 完 美 阻截 木马 攻击 、 黑 客 入 侵 及 网 络 诈骗 ， 为 用 户 上 网 提供 智能 
化 的 整体 上 网 安全 解决 方案 。 

瑞星 2011 版 独 有 的 功能 :利用 网 址 识别 和 网 页 行为 分 析 的 手段 有 效 拦截 恶意 钓鱼 网 站 ， 
保护 用 户 个 人 隐私 信息 、 网 上 银行 账号 密码 和 网 络 支 付 账号 密码 安全 。 

瑞星 智能 安全 防护 MSN 聊天 防护 : 为 MSN 用 户 聊天 提供 加 密 保护 ， 防 止 隐私 外 泄 。 

稠 能 流量 监控 :使 用 户 可 以 了 解 各 个 软件 产生 的 上 网 流量 。 

稠 能 ARP 防护 ， 智 能 检测 局 域 网 内 的 ARP 攻击 及 攻击 源 ， 针 对 出 站 、 入 站 的 ARP 进 
行 检测 ， 并且 能 够 检测 可 疑 的 ARP 请 求 ,分别 对 各 种 攻击 标示 严重 等 级 , 方便 企业 IT 人 员 
快速 准确 地 解决 网 络 安全 隐患 。 

(1) 从 网 上 下 载 瑞星 个 人 防火 墙 ， 并 安装 。 安 装 界面 如 图 5.18 所 示 。 

(2) 在 【瑞星 个 人 防火 墙 设置 】 对 话 框 中 可 以 进行 网 络 监控 的 设置 ， 如 图 5.19 所 示 。 

(3) 了 P 包 过 滤 设 置 。 单 击 【IP 包 过 滤 】， 在 右 侧 会 有 相关 的 设置 选项 卡 ， 如 : 【IP 规 
则 】，【 端 口 开 关 】 等 。 在 【IP 规则 】 选 项 卡 中 ， 用 户 可 以 看 到 很 多 协议 的 状态 ， 以 及 使 
的 网 络 协议 、 端 口 等 信息 ， 并 可 以 对 其 进行 编辑 删除 等 操作 ， 如 图 5.20 所 示 。 

(4) 网 络 攻击 拦截 。 在 右 侧 可 以 查看 到 很 多 网 络 攻击 的 规则 、 漏 洞 ， 包 括 很 多 浏览 
攻击 、 溢 出 、 木 马 等 。 这 些 都 是 防火 墙 所 拦截 的 恶意 信息 ， 如 图 5.21 所 示 。 

(5) 在 主 菜单 网 络 安全 里 ， 可 以 开启 一 些 相应 的 安全 设施 ， 如 : 【IP 包 过 滤 】、【ARP 
欺骗 防御 】、【 亚 意 网 址 拦截 】 等 ， 如 图 5.22 所 示 。 

(6) 主 菜单 访问 控制 。 这 里 面 可 以 看 到 本 机 所 安装 的 一 些 软件 ， 并 可 以 对 其 进行 相应 
的 编辑 、 修 改 等 ， 如 图 5.23 所 示 。 
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图 5.19 进行 网 络 监控 的 设置 
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图 5.22 瑞星 主 菜单 网 络 安全 图 5.23 ”瑞星 主 菜单 访问 控制 


如 : 对 迅雷 的 修改 ， 在 常规 模式 里 ， 可 以 选择 放行 和 禁止 ， 软 件 类 型 也 可 以 更 改 ， 这 
需要 根据 用 户 的 需要 来 更 改 ， 如 图 5.24 所 示 。 

在 模块 规则 里 ， 用 户 也 可 以 对 系统 的 一 些 信息 进行 编辑 。 如 图 5.25 所 示 。 

(7) 查看 防火 墙 日 志 。 用 X-Scan 扫描 工具 ， 对 本 机 进行 扫描 ， 然 后 查看 防火 墙 的 拦截 
日 志 ， 如 图 5.26 所 示 。 


计算 机 网 络 安全 技术 国 


辐 应 用 程序 沪 问 规则 设置 
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程序 路 径 : 。。«:\thunder 5\progran\thunderS. exe 


公司 名 称 : Thunder Networking Technologies, LID 


文件 版 本 : 5.8.1.507 
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图 5.26 查看 防火 墙 日 志 


5.5.2 ”代理 服务 器 的 应 用 


1. 代理 服务 器 的 定义 

代理 服务 器 是 介 于 浏览 器 和 Web 服务 器 之 间 的 一 台 服 务 器 ， 当 你 通过 代理 服务 器 上 网 
浏览 时 ， 浏 览 器 不 是 直接 到 Web 服务 器 去 取 回 网 页 ， 而 是 向 代理 服务 器 发 出 请 求 ， 由 代理 
服务 器 来 取 回 浏览 器 所 需要 的 信息 并 传送 给 你 的 浏览 器 。 

2. 代理 服务 器 的 工作 机 制 

代理 服务 器 的 工作 机 制 很 像 我 们 生活 中 常常 提 及 的 代理 商 , 假设 你 自己 的 机 器 为 A 机 ， 
你 想 获 得 的 数据 由 服务 器 B 提供 ， 代 理 服务 器 为 C， 那 么 具体 的 连接 过 程 是 这 样 的 ，A 机 
需要 B 机 的 数据 ，A 直接 与 C 机 建立 连接 ，C 机 接收 到 A 机 的 数据 请 求 后 ,与 B 机 建立 连 
接 ， 下 载 A 机 所 请 求 的 B 机 上 的 数据 到 本 地 ， 再 将 此 数据 发 送 至 A 机 ， 完 成 代理 任务 。 

3. 代理 服务 器 的 作用 
国 的 他 地址 比较 “紧张 ”， 通 过 代理 服务 器 ,我 们 可 以 节约 一 些 IP 地址 ， 同 时 


旦 
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也 提高 了 系统 的 安全 性 。 另 外 ， 使 用 代理 服务 器 ， 可 以 提高 网 络 速度 。 

下 面 在 代理 服务 器 的 应 用 中 ， 详 细 介绍 代理 服务 器 的 作用 。 

1) ”CCProxy 代理 服务 器 

代理 服务 器 CCProxy 是 国内 最 流行 的 国产 代理 服务 器 软件 。 主 要 用 于 局 域 网 内 共享 宽 
带 上 网 ，ADSL 共享 上 网 、 专 线 代 理 共 享 、ISDN 代理 共享 、 卫 星 代 理 共享 、 蓝 牙 代 理 共享 、 
二 级 代理 等 共享 代理 上 网 。CCProxy 可 以 完成 两 项 大 的 功能 : 代理 共享 上 网 和 客户 端 代理 
权限 管理 。 只 要 局 域 网 内 有 一 台 机 器 能 够 上 网 ， 其 他 机 器 就 可 以 通过 这 台 机 器 上 安装 的 
CCProxy 来 代理 共享 上 网 ， 最 大 限度 地 减少 了 硬件 费用 和 上 网 费用 。 只 需要 在 服务 器 上 
CCProxy 代理 服务 器 软件 里 进行 账号 设置 ， 就 可 以 方便 地 管理 客户 端 代理 上 网 的 权限 。 在 
提高 员工 工作 效率 和 企业 信息 安全 管理 方面 ，CCProxy 充当 了 重要 的 角色 。 

首先 下 载 CCProxy 代理 服务 器 。 

(1) CCProxy 安装 完毕 ， 接 下 来 设置 客户 端 了 下。 假设 安装 代理 服务 器 CCProxy 机 器 的 
IP 地 址 是 :192.168.0.1， 单 击 下 菜单 中 【工具 】， 打 开 【Internet 选项 】 对 话 框 。 如 图 5.27 
所 示 。 

(2) 单 击 图 5.27 中 的 【局 域 网 设置 】 按 钮 。 

(3) 选中 图 5.28 中 的 【使 用 代理 服务 器 】 复 选 框 ， 并 在 【地 址 】 文 本 框 中 输入 代理 服 
务 器 的 地 址 。 
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至 此 ， 客 户 端 基本 设置 完毕 ， 用 户 就 可 以 上 网 冲浪 了 。 

2) ”Winproxy 代理 服务 器 软件 的 设置 

Winproxy 也 是 一 种 常用 的 代理 服务 器 软件 ， 只 要 安装 在 局 域 网 的 服务 器 上 就 可 以 了 ， 
它 可 以 让 局 域 网 中 的 多 台 客 户 机 通过 服务 器 上 网 。 它 支持 Socks 4 &5， 利 用 Winproxy 的 
Socks 协议 可 以 让 客户 机 连通 QQ。 

(1) 首先 在 服务 器 上 安装 Winproxy。 

(2) 确保 局 域 网 中 的 所 有 机 器 可 以 正常 上 网 访问 Internet, 可 能 需要 设置 一 下 Winproxy 
的 HTTP 代理 。 在 服务 器 上 选择 Winproxy 一 Settings 命令 , 看 一 下 HTTP 的 代理 。IP 是 服务 
器 自己 瑟 地 址 ， 如 图 5.29 所 示 。 
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在 每 台 客 户 机 上 的 浏览 器 比如 正 7 中 设置 一 下 HTTP 的 代理 服务 器 ， 填 写 上 服务 器 的 
IP 和 端口 号 。 这 样 就 可 以 让 客户 机 上 网 访问 网 站 了 。 但 QQ 暂时 还 不 能 用 ， 后 面 的 步骤 就 
是 设置 Socks 5， 使 客户 机 可 以 使 用 QQ。 

(3) 在 Winproxy 中 设置 Socks 4 & 5， 依 次 选择 Settings 一 Protocols 一 Socks 命令 , Socks 
默认 的 端口 是 1080， 如 图 5.30 所 示 。 


TRACE | Urenine | site Narrietiam | Mae-Wires| 
Pon on ms | pe ms so 
pm Er | ps sy | 
Pi amt sew | Pa se su 

2 Pgs Gd ri sss] 
iowies te da bateathe semi cgersiee ( 

人 加 一 一 一 一 一 = | Be ttine 

请 使 用 代理 服务 器 &X) 
iE hee cs 1 129 MO 相 
捷 对 于 本 地 地 址 不 使 用 代理 服务 器 @) 
图 5.29 设置 HTTP 代理 服务 器 图 5.30 设置 SOCKS 4&5 


(4) 在 客户 机 QQ 程序 的 系统 设置 中 输入 QQ 服务 器 名 称 : 202.96.170.163( 这 是 sz. 
tencent. com 的 数字 域名 ， 如 果 没 有 把 握 可 以 ping 一 下 )， 端 口 填 8000， 防 火 墙 填 用 户 服务 
器 的 卫 地 址 和 端口 号 ， 如 图 5.31 所 示 。 

(5) 单 击 系统 设置 的 【测试 】 按 钮 ， 可 以 看 到 弹出 【代理 服务 器 工作 正常 】 对 话 框 。 
这 样 ， 用 户 按 照 提 示 ， 就 可 以 使 用 QQ 了 ， 如 图 5.31 所 示 。 


图 5.31 OICQ 参数 设置 


多 5.6” 防 灭 墙 产品 


5.6.1 防火 墙 的 主要 参数 


目前 市 场 的 防火 墙 产品 非常 之 多 ， 划 分 的 标准 也 比较 杂 。 主 要 分 类 如 下 : @ 按 软 硬 件 
形式 分 为 软件 防火 墙 和 硬件 防火 墙 以 及 芯片 级 防火 墙 ，@ 按 防火 墙 技术 组 成 分 为 “ 包 过 滤 
型 ”和 “应 用 代理 型 ”两 大 类 ; 图 按 防 火 墙 结构 分 为 单一 主机 防火 墙 、 路 由 器 集成 式 防火 
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墙 和 分 布 式 防火 墙 三 种 结构 ; 图 按 防 火 墙 的 应 用 部 署 位 置 分 为 边界 防火 墙 、 个 人 防火 墙 和 
混合 防火 墙 三 大 类 ; @@ 按 防火 墙 性 能 分 为 百 兆 级 防火 墙 和 千 兆 级 防火 墙 两 类 。 


1. 硬件 参数 

硬件 参数 是 指 设备 使 用 的 处 理 器 类 型 或 芯片 及 主 频 、 内 存 容量 、 闪 存 容量 、 网 络 接口 、 
存储 容量 类 型 等 数据 。 

2. 并 发 连接 数 


并 发 连接 数 是 指 防火 墙 或 代理 服务 器 对 其 业务 信息 流 的 处 理 能 力 ， 是 防火 墙 能 够 同时 
处 理 的 点 对 点 连接 的 最 大 数目 ， 它 反映 出 防火 墙 设备 对 多 个 连接 的 访问 控制 能 力 和 连接 状 
态 跟踪 能 力 ， 这 个 参数 的 大 小 直接 影响 到 防火 墙 所 能 支持 的 最 大 信息 点 数 。 

并 发 连接 数 是 衡量 防火 墙 性 能 的 一 个 重要 指标 。 在 目前 市 面 上 常见 防火 墙 设备 的 说 明 
书 中 大 家 可 以 看 到 ， 从 低 端 设备 的 500、1000 个 并 发 连接 ， 一 直到 高 端 设备 的 数 万 、 数 十 
万 并 发 连接 ， 存 在 着 好 几 个 数量 级 的 差异 。 那 么 ， 并 发 连接 数 究竟 是 一 个 什么 概念 呢 ? 它 
的 大 小 会 对 用 户 的 日 常 使 用 产生 什么 影响 呢 ? 要 了 解 并 发 连接 数 ， 首 先 需 要 明白 一 个 概念 ， 
那 就 是 “会 话 ”。 这 个 “会 话 ” 不 是 人 们 日 常生 活 中 的 谈话 ， 但 是 可 以 以 此 来 理解 ， 两 个 
人 在 谈话 时 ， 你 一 句 ， 我 一 句 ， 一 问 一 答 ， 我 们 把 它 称 为 一 次 对 话 ， 或 者 叫 会 话 。 同 样 ， 
在 操作 计算 机 的 过 程 中 打开 的 一 个 窗口 或 一 个 Web 页 面 ， 也 可 以 被 称 作 一 个 “会 话 ”; 扩 
展 到 一 个 局 域 网 里 面 ,所 有 用 户 要 通过 防火 墙 上 网 , 要 打开 很 多 个 窗口 或 Web 页 面 ( 即 会 话 )， 
那么 ， 这 个 防火 墙 ， 所 能 处 理 的 最 大 会 话 数量 ， 就 是 “并 发 连接 数 ”。 

像 路 由 器 的 路 由 表 存 放 路 由 信息 一 样 ， 防 火 墙 里 也 有 一 个 这 样 的 表 ， 我 们 把 它 叫 作 并 
发 连接 表 ， 是 防火 墙 用 以 存放 并 发 连接 信息 的 地 方 ， 它 可 在 防火 墙 系统 启动 后 动态 分 配 进 
程 的 内 存 空间 ， 其 大 小 也 就 是 防火 墙 所 能 支持 的 最 大 并 发 连接 数 。 大 的 并 发 连接 表 可 以 增 
大 防火 墙 最 大 并 发 连接 数 ， 人 允许 防 火 墙 支持 更 多 的 客户 终端 。 尽 管 看 上 去 ， 防 火 墙 等 类 似 
产品 的 并 发 连接 数 似乎 是 越 大 越 好 。 但 是 与 此 同时 ， 过 大 的 并 发 连接 表 也 会 带 来 一 定 的 负 
面 影响 。 
1) “并 发 连接 数 的 增 大 意味 着 对 系统 内 存 资 源 的 消耗 
以 每 个 并 发 连接 表 项 占用 300B 计算 ，1000 个 并 发 连接 将 占 300Bx1000x8gb/B= 2.3MB 
内 存 空间 ，10 000 个 并 发 连接 将 占用 23MB 内 存 空间 ，100 000 个 并 发 连接 将 占用 230MB 
内 存 空 间 ， 而 如 果真 的 试图 实现 1 000 000 个 并 发 连接 的 话 。 那 么 ， 这 个 产品 就 需要 提供 
2.24GB 内 存 空间 。 

2) “并 发 连接 数 的 增 大 应 当 充 分 考虑 CPU 的 处 理 能 力 

CPU 的 主要 任务 是 把 网 络 上 的 流量 从 一 个 网 段 尽 可 能 快速 地 转发 到 另外 一 个 网 段 上 ， 
并 且 在 转发 过 程 中 对 此 流量 按照 一 定 的 访问 控制 策略 进行 许可 检查 、 流 量 统计 、 访 问 审计 
等 操作 ， 这 都 要 求 防火 墙 对 并 发 连接 表 中 的 相应 表 项 进行 不 断 的 更 新 读 写 操作 。 如 果 不 顾 
CPU 的 实际 处 理 能 力 而 贸然 增 大 系统 的 并 发 连接 表 ， 势 必 影 响 防火 墙 对 连接 请 求 的 处 理 延 
迟 ， 造 成 某 些 连 接 超 时 ， 让 更 多 的 连接 报 文 被 重 发 ， 进 而 导致 更 多 的 连接 超时 ， 最 后 形成 
“ 雪 骨 效应 ”， 致 使 整个 防火 墙 系统 崩溃 。 

3) ”物理 链 路 的 实际 承载 能 力 将 严重 影响 防火 墙 发 挥 出 其 对 海量 并 发 连接 的 处 理 能 

虽然 目前 很 多 防火 墙 都 提供 了 10/100/1000Mbps 的 网 络 接口 , 但 是 ,由 于 防火 墙 通常 都 
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部 署 在 Internet 出 口 处 ， 在 客户 端 PC 与 目的 资源 中 间 的 路 径 上 ， 总 是 存在 着 瓶颈 链 路 一 一 
该 瓶颈 链 路 可 能 是 2Mbps 专线 ， 也 可 能 是 512Kbps 乃至 64Kbps 的 低速 链 路 。 这 些 拥挤 的 
低速 链 路 根本 无 法 承载 太 多 的 并 发 连接 ， 所 以 即便 是 防火 墙 能 够 支持 大 规模 的 并 发 访问 连 
接 ， 也 无 法 发 挥 出 其 原 有 的 性 能 。 

有 鉴于 此 ， 我 们 应 当 根据 网 络 环境 的 具体 情况 和 个 人 不 同 的 上 网 习惯 来 选择 适当 规模 
的 并 发 连接 表 。 因 为 不 同 规模 的 网 络 会 产生 大 小 不 同 的 并 发 连接 ， 而 用 户 习 惯 于 何 种 网 络 
服务 以 及 如 何 使 用 这 些 服 务 ， 同 样 也 会 产生 不 同 的 并 发 连接 需求 。 高 并 发 连接 数 的 防火 墙 
设备 通常 需要 客户 投资 更 多 的 设备 ， 这 是 因为 并 发 连接 数 的 增 大 牵扯 到 数据 结构 、CPU、 
内 存 、 系 统 总 线 、 网 络 接口 等 多 方面 因素 。 如 何在 合理 的 设备 投资 和 实际 上 所 能 提供 的 性 
能 之 间 寻 找 一 个 黄金 平衡 点 将 是 用 户 选择 产品 的 一 个 重要 任务 。 按 照 并 发 连接 数 来 衡量 方 
案 的 合理 性 是 一 个 值得 推荐 的 办 法 。 

以 每 个 用 户 需 要 10.5 个 并 发 连接 来 计算 , 一 个 中 小 型 企业 网 络 (1000 个 信息 点 以 下 , 容 
纳 4 个 C 类 地 址 空间 ) 大 概 需要 10.5x1000=10 500 个 并 发 连接 , 因此 支持 20 000 一 30 000 最 
大 并 发 连接 的 防火 墙 设备 便 可 以 满足 需求 ; 大 型 的 企 事业 单位 网 络 (比如 信息 点 数 在 1000 一 
10 000 之 间 ) 大 概 会 需要 105 000 个 并 发 连接 ， 所 以 支持 100 000 一 120 000 最 大 并 发 连接 的 
防火 墙 就 可 以 满足 企业 的 实际 需要 ; 而 对 于 大 型 电信 运营 商 和 ISP 来 说 ， 电 信 级 的 千 兆 防 
火 墙 (支持 120 000 一 200 000 个 并 发 连接 ) 则 是 恰当 的 选择 。 为 较 低 的 需求 而 采用 高 端的 防火 
墙 设 备 将 造成 用 户 投资 的 浪费 ， 同 样 为 较 高 的 客户 需求 而 采用 低 端 设备 将 无 法 达到 预计 的 
性 能 指标 。 利 用 网 络 整体 上 的 并 发 连接 需求 来 选择 适当 的 防火 墙 产 品 可 以 帮助 用 户 快速 、 
准确 地 定位 所 需要 的 产品 ， 避 免 对 单纯 某 一 参数 “ 愈 大 愈 好 ”的 盲目 追求 ， 可 缩短 设计 施 
工 周 期 ， 节 省 企业 的 开支 ， 从 而 为 企业 实施 最 合理 的 安全 保护 方案 。 

在 利用 并 发 连接 数 指标 选择 防火 墙 产品 的 同时 ， 产 品 的 综合 性 能 、 厂 家 的 研发 力量 、 
资金 实力 、 企 业 的 商业 信誉 和 经 营 风险 以 及 产品 线 的 技术 支持 和 售后 服务 体系 等 都 应 当 纳 
入 采购 者 的 考虑 范围 ， 将 多 方面 的 因素 结合 起 来 进行 综合 考虑 ， 切 不 可 盲目 地 听信 某 些 厂 
家 的 广告 宣传 ， 要 根据 自己 业务 系统 、 企 业 规模 、 发 展 空间 、 自 身 实力 等 因素 多 方面 进行 
考虑 。 


3. 香 吐 量 


网 络 中 的 数据 是 由 一 个 个 数据 包 组 成 的 ， 防 火 墙 对 每 个 数据 包 的 处 理 都 要 耗费 资源 。 
吞吐 量 是 指 在 没有 帧 丢失 的 情况 下 ， 设 备 能 够 接受 的 最 大 速率 。 其 测试 方法 是 : 在 测试 中 
以 一 定 速率 发 送 一 定数 量 的 帧 ， 并 计算 待 测 设备 传输 的 帧 ， 如 果 发 送 的 帧 与 接收 的 帧 数量 
相等 ， 那 么 就 将 发 送 速率 提高 并 重新 测试 ， 如 果 接 收 帧 少 于 发 送 帧 则 降低 发 送 速率 重新 测 
试 ， 直 至 得 出 最 终结 果 。 香 吐 量 测试 结果 以 b/s 或 B/s 表示 。 

随 着 Internet 的 日 益 普 及 ， 内 部 网 用 户 访问 Internet 的 需求 在 不 断 增加 ， 一 些 企业 也 需 
要 对 外 提供 诸如 WWW 页 面 浏览 、FTP 文件 传输 、DNS 域名 解析 等 服务 ， 这 些 因素 会 导致 
网 络 流量 的 急剧 增加 ， 而 防火 墙 作为 内 外 网 之 间 的 唯一 数据 通道 ， 如 果 吞 吐 量 太 小 ， 就 会 
成 为 网 络 瓶 颈 ， 从 而 给 整个 网 络 的 传输 效率 带 来 负面 影响 。 因 此 ， 考 察 防火 墙 的 吞吐 能 力 
有 助 于 我 们 更 好 地 评价 其 性 能 表现 。 这 也 是 衡量 防火 墙 性 能 优 劣 的 重要 指标 。 

吞吐 量 的 大 小 主要 由 防火 墙 内 网 卡 及 程序 算法 的 效率 决定 ， 尤 其 是 程序 算法 ， 会 使 防 
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火 墙 系统 进行 大 量 运 算 ， 通 信 量 大 打折 扣 。 因 此 ， 大 多 数 防火 墙 虽 号 称 100MB 防火 墙 ，f 
于 其 算法 依靠 软件 实现 ， 通 信 量 远 远 没有 达到 100MB， 实 际 只 有 10MB 一 20MB 。 纯 硬件 防 
火 墙 , 由 于 采用 硬件 进行 运算 , 因此 吞吐 量 可 以 达到 线性 90MB 一 953MB, 是 真正 的 100MB 
防火 墙 。 

对 于 中 小 型 企业 来 讲 ， 选 择 吞 吐 量 为 百 兆 级 的 防火 墙 即 可 满足 需要 ， 而 对 于 电信 、 金 
融 、 保 险 等 大 公司 大 企业 部 门 就 需要 采用 吞吐 量 千 兆 级 的 防火 墙 产品 。 

4. 安全 过 滤 带 宽 

安全 过 滤 带 宽 是 指 防火 墙 在 某 种 加 密 算法 标准 下 , 如 DES(56b) 或 3DES(168b) 下 的 整体 
过 滤 性 能 。 它 是 相对 于 明文 带宽 提出 的 。 一 般 来 说 ， 防 火 墙 总 的 吞吐 量 越 大 ， 其 对 应 的 安 
全 过 滤 带 宽 越 高 。 


5.6.2 ” 选 购 防 火 墙 的 注意 事项 


对 于 公司 网 络 安全 来 说 ， 防 火 墙 起 的 是 关键 性 的 作用 ， 只 有 它 才 可 以 防止 来 自 互 联网 
上 永 不 停止 的 各 种 威胁 。 防 火 墙 的 选择 对 远程 终端 连接 到 中 心 系统 获取 必要 资源 或 完成 重 
要 任务 的 影响 也 非常 大 。 当 选择 基于 硬件 的 防火 墙 时 ， 应 当 考 虑 以 下 10 个 方面 的 因素 ， 以 
确保 企业 实现 投资 、 安 全 性 和 生产 力 的 最 大 化 。 

1. 必须 可 以 提供 值得 信赖 的 安全 

在 市 面 上 ，UTM 的 种 类 非常 多 。 根 据 商 业 模式 的 不 同 ， 一 些 网 络 安全 设备 可 以 提供 大 
量 的 功能 和 全 面 的 服务 ， 但 是 需要 公司 承担 高 昂 的 价格 ; 另 一 些 则 只 包含 了 基本 的 服务 ， 
但 采购 的 成 本 也 很 低 。 
此 , 选择 的 防火 墙 一 定 要 确保 品牌 是 公认 和 值得 信赖 的 .Barracuda、 思科 、SonicWALL 
公司 和 WatchGuard 都 属于 拥有 较 大 市 场 份 额 的 著名 品牌 , 它们 获得 的 市 场 份额 就 是 可 以 提 
供 值得 信赖 安全 的 最 好 说 明 。 无 论 你 选择 什么 品牌 的 防火 墙 ， 都 应 该 确保 其 通过 了 国际 计 
算 机 安全 协会 ICSA) 的 认证 ， 符 合 数 据 包 检 测 的 行业 标准 。 

2. 具有 良好 的 易 用 性 


在 安全 方面 ， 全 球 跨国 企业 需要 多 级 控制 管理 ， 但 即使 是 这 些 需要 大 量 保护 的 企业 也 
不 应 该 将 设备 配置 方式 限定 在 命令 行 模式 下 。 很 多 防火 墙 都 可 以 在 提供 高 度 安全 性 的 同时 ， 
提供 友好 的 图 形 界面 以 方便 管理 。 
这 样 做 的 优点 有 几 个 方面 。 图 形 用 户 界面 有 助 于 防止 安装 时 出 现 错误 。 在 图 形 用 户 界 
下 ， 用 户 更 容易 地 诊断 和 纠正 故障 。 图 形 用 户 界面 也 更 便于 培训 工作 人 员 ， 以 及 进行 调 
整 、 升 级 和 更 新 。 

在 选择 基于 硬件 的 防火 墙 时 ， 考 虑 到 易 用 性 也 会 带 来 很 大 的 好 处 。 一 个 平台 越 容易 进 
行 管理 ， 就 越 容易 找到 可 以 进行 安装 、 维 护 、 故 障 处 理 等 工作 的 专业 人 1 


3. 必须 包含 VPN 支持 
防火 墙 存在 的 目的 并 不 只 限于 防止 网 络 黑客 的 攻击 、 非 法 数据 输出 。 一 个 好 的 防火 墙 


Tr 
o 
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还 应 该 可 以 在 为 远程 连接 建立 安全 通道 ， 并 对 其 进行 监测 。 在 选择 基于 硬件 的 防火 墙 时 ， 
应 该 确保 其 支持 同类 设备 的 基于 SSL- 和 IPSec- 保 护 的 VPN 连接 (以 保护 点 到 点 或 站 点 到 站 
点 VPN)， 让 员工 可 以 实现 安全 连接 。 

4. 功能 选择 要 符合 实际 需求 

在 网 络 策略 中 ， 防 火 墙 通常 承担 公司 网 络 的 互联 网 网 关 的 角色 。 对 于 规模 较 小 的 办 公 
室 ， 可 以 让 防火 墙 承担 双重 责任 ， 即 既 作 为 安全 设备 又 作为 网 络 交换 机 。 同 时 ， 对 于 规模 
较 大 的 办 公 环 境 来 说 ， 防 火 墙 属于 更 大 结构 的 组 成 部 分 ， 这 时 ， 它 承担 的 唯一 责任 就 是 对 
流量 进行 过 滤 。 

确保 防火 墙 可 以 对 负载 进行 分 配 管理 。 这 就 意味 着 它 需 要 配备 必要 的 以 太 网 端口 ， 并 
拥有 适当 的 速度 (如 果 有 必要 的 话 ,， 应 该 选择 10Mbps/100Mbps/1000Mbps)。 但 还 有 更 多 要 注 
意 的 因素 ， 确 保 你 选择 的 防火 墙 拥 有 进行 数据 包 检查 的 功能 ， 并 且 可 以 提供 安全 服务 网 关 
和 路 由 功能 。 

特别 要 注意 的 是 ， 制 造 商 关 于 支持 最 大 节点 数目 的 建议 。 如 果 超 过 了 路 由 器 的 能 力 ， 
就 可 能 会 出 现 错误 ， 数 据 传输 就 会 因 缺 乏 许可 或 者 超过 支持 范围 而 中 断 。 

5. 应 该 拥有 可 靠 的 技术 支持 


硬件 出 现 问 题 是 有 可 能 的 。 更 坏 的 情况 可 能 是 ， 即 使 是 新 购买 的 硬件 防火 墙 也 不 意味 
着 它 一 定 可 以 正常 工作 。 全 天 候 的 技术 支持 以 及 部 署 过 程 中 的 全 面 技术 支持 应 当 包 含 在 和 
防火 墙 制造 商 签订 的 技术 支持 合同 中 。 

在 购买 前 ， 应 该 拨打 制造 商 技术 支持 团队 的 电话 ， 了 解 部 署 和 配置 方面 的 问题 。 根 据 
答复 的 速度 和 内 容 等 情况 ， 可 以 确定 在 实地 部 署 出 现 问 题 时 你 将 获得 服务 的 情况 。 

6. 关注 无 线 网 络 安全 

即使 在 选择 基于 硬件 的 防火 墙 时 ， 公 司 并 不 认为 这 是 必需 的 情况 下 ， 也 应 该 将 无 线 网 
络 功 能 包含 进来 。IT 团队 可 以 在 部 署 的 时 间 关闭 无 线 网 络 功能 。 增 加 无 线 局 域 网 功能 会 导 
致 购买 成 本 增加 ， 但 对 于 客户 或 方便 地 连接 访问 网 络 来 说 ， 这 是 必需 的 。 安 全 的 无 线 连接 
是 很 容易 获得 的 (并 不 需要 购买 一 台 全 新 的 路 由 器 )。 对 于 一 家 处 于 变化 中 的 公司 企业 来 说 ， 
无 线 局 域 网 功能 可 能 被 证 明 是 必要 的 。 

7. 可 以 提供 网 关 安 全 服务 


通过 设置 防火 墙 ， 很 多 公司 成 功 地 降低 了 病毒 、 间 谍 软 件 和 垃圾 邮件 带 来 的 大 量 威胁 。 
与 传统 的 域 控制 器 和 其 他 服务 器 相 比 ， 防 火 墙 在 功能 、 运 行 时 间 和 成 本 上 更 有 优势 。 用 户 
可 以 选择 在 防火 墙 而 不 是 传统 的 域 控制 器 或 其 他 服务 器 上 部 署 这 些 服务 。 

8. 能 够 进行 内 容 过 滤 
现在 很 多 IT 部 门 都 选择 使 用 Open DNS 进行 内 容 过 滤 ， 一 些 防火 墙 制造 商 也 在 设备 中 
提供 了 网 页 过 滤 的 选择 。 对 于 所 有 和 业务 有 关 的 网 络 服务 来 说 ， 都 需要 利用 网 关 安 全 服务 
进行 内 容 过 滤 。 这 样 做 的 优点 是 可 以 实现 功能 集成 在 一 台 设备 中 。 但 缺点 是 ， 你 需要 支付 
相关 的 费用 。 
此 ， 在 选择 基于 硬件 的 防火 墙 解决 方案 时 ， 要 考虑 到 公司 的 需求 和 预算 情况 ， 确 定 
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是 否 应 该 由 防火 墙 管理 内 容 过 滤 功能 。 如 果 答 案 是 肯定 的 话 ， 应 选择 一 个 包含 了 可 靠 成 熟 


内 容 过 滤 功 能 的 防火 墙 。 
9. 可 以 提供 专业 的 监测 和 报告 


防火 墙 可 以 对 关键 网 络 任务 进行 管理 。 仅 仅 一 个 工作 日 ， 一 台 路 


器 就 可 以 阻止 成 干 


上 万 的 入 侵 企 图 、 防 范 各 种 攻击 ， 并 记录 失败 的 网 络 连接 。 但 这 些 信 息 只 有 包含 在 易于 获 
取 的 格式 中 时 ， 才 能 为 网 络 管理 员 提供 有 效 的 帮助 。 
对 于 防火 墙 来 说 ， 不 仅 需 要 对 重要 事件 进行 监控 ， 而 且 应 该 将 数据 以 兼容 的 格式 保存 


起 来 。 一 个 优秀 的 防火 墙 应 该 至 少 可 以 利用 电子 邮件 为 重要 事件 提 们 


10. 了 解 是 否 具备 故障 转移 功能 


共 警 告 。 


一 些 公司 可 能 需要 广域网 故障 转移 功能 ， 或 者 元 余 的 互联 网 连接 进行 自动 故障 检测 和 
纠正 。 很 多 防火 墙 都 不 具备 自动 故障 转移 支持 模式 。 如 果 该 功能 对 贵 公司 来 说 是 至 关 重要 
的 话 ， 请 确认 你 选择 的 防火 墙 包含 了 无 颖 切换 模式 ， 即 使 是 高 端 防火 墙 ， 在 默认 情况 下 ， 


也 不 一 定 包 括 这 样 的 功能 。 


接口 的 GSM 卡 或 适配器 才 是 比较 适当 的 选择 。 


多 57 回 到 工作 场景 


此 外 , 请 确保 选择 的 模式 符合 公司 的 使 用 情况 。 举 例 来 说 , 如 果 一 个 单位 拥有 两 个 RJ-45 
广 域 以 太 网 端口 的 话 ， 在 第 2 个 端口 运行 无 线 网 卡 将 没有 什么 好 处 。 在 这 种 情况 下 ，USB 


随 着 网 络 的 逐渐 发 展 ，Cisco 路 由 器 在 运行 IOS 的 软件 上 也 支持 更 多 的 安全 特性 ，Cisco 
IOS 防火 墙 特性 集 为 每 一 个 网 络 周边 集成 了 稳健 的 防火 墙 功能 和 入 侵 检测 ， 丰 富 了 Cisco 
IOS 安全 功能 。 如 果 与 Cisco IOS IPSec 软件 和 其 他 基于 Cisco IOS 软件 的 技术 (例如 L2TP 


隧道 和 服务 质量 ) 相 结合 ，Cisco IOS 防火 墙 特性 集 可 以 提供 一 个 全 重 
(VPN) 解 决 方 案 。Cisco IOS 软件 可 用 在 广泛 的 Cisco 路 由 器 平台 上 ， 人 允许 


LAN/WAN 密度 和 多 种 服务 需求 选择 路 由 


访问 控制 列表 (Access Control List，ACL) 是 路 由 器 接 


出 的 数据 包 。 访 问 列表 就 是 一 系列 允许 


列表 的 条 件 ， 在 满足 第 一 个 匹配 条 件 后 ， 


其 中 : time-range 可 以 使 用 periodic 
间 段 。 


、 集 成 的 虚拟 专用 


器 平台 ， 同 时 从 先进 的 安全 性 中 受益 。 


用 户 根据 带宽 、 


网 络 


的 指令 列表 ， 用 来 控制 端 


进 


拒绝 条 件 的 集合 ， 通 过 访问 列表 可 以 过 滤 发 进 和 
发 出 的 信息 包 的 请 求 ， 实 现 对 路 由 器 和 网 络 的 安全 控制 。 路 由 器 一 个 一 个 地 检测 包 与 访问 
就 可 以 决定 路 由 器 接收 或 拒 收 该 包 。 

基于 此 ， 网 络 管理 员 通 过 使 用 边界 的 Cisco 路 由 器 内 置 的 一 些 防 火 墙 功 能 ， 配 置 定时 
ACL， 实 现 了 公司 的 要 求 。 设 置 方 法 如 下 : 

Router (config)#time-range weekdays 

Router (config-time-range)#period weekdays 9:00 to 12:00 


Router (config)#time-range weekdays 
Router (config-time-range)#period weekdays 13:00 to 17:00 


定义 一 个 周期 ， 也 可 以 使 用 


absolute 定义 


个 时 
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3 5.8 工作 实 训 营 


5.8.1 训练 实例 


1. 利用 ACL 过 滤 特 定 的 报 文 

针对 应 用 实例 导航 中 所 述 的 报 文 碎片 (Fragments) 攻 击 、ICMP 攻击 和 TCP SYN 攻击 
可 以 用 配置 ACL 来 过 滤 这 些 报 文 ， 以 减少 这 些 攻击 。 

为 了 防范 报 文 碎片 攻击 ， 可 以 过 滤 所 有 不 完整 的 人 P 报 文 ， 方 法 是 : 

Router (config)# access-list 139 deny ip any any fragments 

为 了 防范 ICMP 攻击 ， 可 以 过 滤 所 有 ICMP 报 文 ， 方 法 是 : 


Router (config)#access-list 139 deny icmp any any // 过 滤 所 有 ICMP 报 文 


若 仅 过 滤 ping 包 ， 人 允许 其 他 ICMP 报 文 ， 可 以 按 下 述 方法 配置 : 


Router (config)#access-list 139 deny icmp any any echo 
Router (config)#access-list 139 deny icmp any any echo-reply 


为 了 防范 TCP SYN 攻击 ， 需 过 滤 所 有 的 半 连 接 , 方法 是 (为 展示 命名 ACL 的 定义 方法 ， 
这 里 定义 了 一 个 命名 ACL): 


Router (config)# ip access-list extended tcp-syn-flood 
Router (config-ext-nacl)# permit tcp any 10.0.1.0 0.0.255.255 established 


完成 ACL 定义 后 ， 需 要 将 ACL 应 用 到 相应 的 接口 ， 方 法 是 


Router (config)# interface ethernetl 
Router (config-if)# ip access-group tcp-syn-flood in // 应 用 命名 ACL 
Router (config-if)# ip access-group 139 out // 应 用 编号 ACL 


2. 利用 ACL 应 对 网 络 攻 击 


Sadness 公司 在 某 日 发 现 其 广域网 带宽 全 部 耗 尽 ， 各 种 服务 运行 缓慢 。 后 接 到 ISP 方面 
的 责难 电话 ， 问 他 们 为 什么 要 攻击 ISP 接 入 路 由 器 。Sadness 公司 对 此 进行 了 查找 ， 发 现 大 
量 未 知 JP 地址 通过 Sadness 公司 网 络 对 外 发 送 大 量 报 文 。 事 后 发 现 是 黑客 攻破 了 一 台 
Sadness 内 部 网 络 的 主机 , 并 在 该 主机 上 使 用 伪造 的 源 他 地 址 , 对 运营 商 的 路 由 器 进行 攻击 。 
网 络 管理 员 在 边界 路 由 器 上 作 了 如 下 配置 : 
首先 ， 将 各 种 攻击 常用 的 地 址 段 进行 了 屏蔽 ， 并 只 让 合法 的 瑟 地 址 发 送 对 外 流量 ， 方 
法 是 : 
Router (config)# ip access-list extended egress-acl 
Router (config-ext-nacl)# deny ip any 1.0.0.0 0.255.255.255 
Router (config-ext-nacl)# deny ip any 2.0.0.0 0.255.255.255 


Router (config-ext-nacl)# deny ip any 5.0.0.0 0.255.255.255 
Router (config-ext-nacl)# deny ip any 7.0.0.0 0.255.255.255 


站 
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Router (config-ext-nacl)# deny ip any 23.0.0.0 0.255.255.255 
Router (config-ext-nacl)# deny ip any 27.0.0.0 0.255.255.255 
Router (config-ext-nacl)# deny ip any 172.16.0.0 0.15.255.255 
Router (config-ext-nacl)# deny ip any 192.168.0.0 0.0.255.255 
Router (config-ext-nacl)# deny ip any 224.0.0.0 15.255.255.255 
Router (config-ext-nacl)# deny ip any 240.0.0.0 15.255.255.255 
Router (config-ext-nacl)# deny ip any 0.0.0.0 0.255.255.255 
Router (config-ext-nacl)# deny ip any 169.254.0.0 0.0.255.255 
Router (config-ext-nacl)# deny ip any 192.0.2.0 0.0.0.255 
Router (config-ext-nacl)# permit ip 46.1.0.0 0.0.255.255 any 
Router (config-ext-nacl)# deny ip any any 

Router (config-ext-nacl)# exit 

Router (config)# interface ethernetl 

Router (config-if)# ip access-group egress-acl out 


为 了 防止 内 部 人 员 对 外 部 网 络 进行 攻击 ,接着 还 需要 限制 出 口 的 ICMP 流量 和 Taceroute 
流量 ， 方 法 是 

Router (config)# ip access-list extended ICMP-traceroute 

Router (config-ext-nacl)# permit icmp host 46.1.2.3 any echo 

Router (config-ext-nacl)# permit icmp 46.1.0.0 0.0.255.255 any 

parameter-problem 

Router (config-ext-nacl)#permit icmp 46.1.0.00.0.255.255 any packet-too-big 

Router (config-ext-nacl)# permit icmp 46.1.0.0 0.0.255.255 any source-quench 

Router (config-ext-nacl)# deny icmp any any 

Router (config-ext-nacl)# deny udp any any range 33400 34400 

Router (config-ext-nacl)# exit 

Router (config)# interface ethernet1 

Router (config-if)# ip access-group ICMP-traceroute out 


3. 利用 ACL 阻止 不 必要 的 服务 


通常 公司 内 部 容易 造成 安全 威胁 的 软件 是 各 类 即时 通信 产品 (如 QQ、MSN)， 同 时 大 量 
的 P2P 应 用 (如 BT、 电 驴 等 ) 会 导致 带宽 拥塞 ， 因 此 需要 阻止 这 些 不 必要 的 网 络 服务 。 

(1) 如 果 Sadness 公司 不 希望 员工 使 用 Microsoft MSN, 可 以 通过 ACL 来 禁用 这 个 服务 ， 
方法 是 

Router (config)# ip access-list extended MSN 

Router (config-ext-nacl)# deny tcp any any eq 1503 

Router (config-ext-nacl)# deny tcp any any eq 1863 

Router (config-ext-nacl)# deny tcp any any eq 6891 

Router (config-ext-nacl)# deny udp any any eq 1863 

Router (config-ext-nacl)# deny udp any any range 13324 13325 

Router (config-ext-nacl)# deny tcp any any eq 569 

Router (config-ext-nacl)# deny udp any any eq 569 

Router (config-ext-nacl)# deny ip any 64.4.13.0 0.0.0.255 

Router (config-ext-nacl)# deny ip any host 207.46.104.20 

Router (config-ext-nacl)# deny ip any 207.46.96.0 0.0.0.255 

Router (config-ext-nacl)# exit 

Router (config)# interface ethernetl 

Router (config-if)# ip access-group MSN out 
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(2) 如 果 Sadness 公司 不 希望 员工 使 用 电驴 (banedonkey)， 也 可 以 通过 ACL 进行 过 滤 ， 
方法 是 

Router (config)# ip access-list extended banedonkey 

Router (config-ext-nacl)# deny tcp any any range 4661 4662 

Router (config-ext-nacl)# deny tcp any any range 4242 4243 

Router (config-ext-nacl)# deny udp any any eq 4665 

Router (config-ext-nacl)# exit 

Router (config)# interface ethernetl 

Router (config-if)# ip access-group banedonkey in 

Router (config-if)# ip access-group banedonkey out 


5.8.2 ”工作 实践 常见 问题 解析 


(D 怎么 样 关 闭 防火 墙 ? 

我 们 知道 防火 墙 是 保护 计算 机 的 第 一 道 屏 障 ， 所 以 一 般 应 用 我 们 都 推荐 开启 防火 墙 ， 
但 有 时 局 域 网 联机 等 其 他 操作 确实 要 关闭 防火 墙 ， 否 则 内 网 容易 存在 冲突 ， 无 法 实现 内 网 
互联 ， 那 么 对 于 内 网 用 户 来 说 如 何 关闭 防火 墙 呢 ? 下 面 就 与 大 家 分 享 下 怎么 关闭 防火 墙 。 
关闭 防火 墙 其 实 也 比较 简单 ， 下 面 介 绍 一 种 轻松 实现 关闭 防火 墙 的 方法 。 

采用 最 原始 的 方法 ， 步 又 如 下 。 

@ 打开 【我 的 电脑 】 窗 口 ， 再 选择 【控制 面板 】 选 项 ， 如 图 5.32 所 示 ， 打 开 【 控 制 


面板 】 窗 口 。 
[€] ©- 访 Ps En 


地 址 0) | 量 我 的 电脑 


系统 任务 SD Ha c) 


回 查看 系统 信 息 


动 二 加 /删除 程序 a 
了 更 mw 一 个 村 Sp Heli 


图 5.32 ”选择 【控制 面板 】 选 项 
@ 在 【控制 面板 】 窗 口中 ， 我 们 再 选择 【安全 中 心 】 选 项 ， 如 图 5.33 所 示 。 
@ 进入 安全 中 心 之 后 就 可 以 看 到 Windows 防火 墙 了 ,对 防火 墙 进行 相应 设置 后 可 以 
选择 关闭 防火 墙 ， 单 击 【确认 】 按 钮 保存 后 ， 再 单 击 【 退 出 】 按 钮 即 可 。 
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5.33 选择 【安全 中 心 】 选 项 


(2) Windows 7 自 带 的 防火 墙 如 何 设置 ? 

防火 墙 对 于 每 一 个 计算 机 用 户 的 重要 性 不 言 而 喻 ， 尤 其 是 在 当前 网 络 威胁 泛滥 的 环境 
下 ， 通 过 专业 可 靠 的 工具 来 帮助 自己 保护 计算 机 信息 安全 十 分 重要 。 市 场 上 杀毒 软件 的 品 
牌 繁多 ， 但 并 非 每 款 都 为 用 户 提供 了 防火 墙 功 能 ， 很 多 用 户 在 安装 了 杀毒 软件 后 ， 还 要 找 
一 款 专 业 的 防火 墙 ， 以 及 打 补 丁 工具 等 ， 这 的 确 有 点 多 此 一 举 的 感觉 ， 因 为 Windows 操作 
系统 自 带 的 防火 墙 其 实 就 不 错 ， 特 别 是 如 果 你 使 用 的 是 Windows 7 操作 系统 ， 那 么 启用 
Windows 7 自 带 的 防火 墙 就 能 达到 较 好 的 效果 ， 下 面 一 起 来 看 看 。 

Windows 7 操作 系统 发 布 已 有 一 段 时 间 , 其 美观 性 和 易 用 性 受到 用 户 的 广泛 好 评 。 在 系 
统 安全 性 方面 Windows 7 也 作出 了 很 多 的 改进 ， 包 括 UAC 和 防火 墙 功能 ，Windows 7 自 带 
的 防火 墙 与 老 版 Windows 系统 的 防火 墙 功能 相 比 功能 更 实用 ， 且 操作 更 简单 。 如 防火 墙 的 
启动 ， 我 们 只 需 通过 Windows 7【 开 始 】 菜 单打 开 【 控 制 面板 】 窗 口 ， 然 后 选择 【系统 和 安 
全 】 选 项 ， 即 可 找到 【Windows 防火 墙 】 选 项 ， 如 图 5.34 和 图 5.35 所 示 。 


调整 计算 机 的 设置 


网 络 和 Internet 
人 
< 迁 择 宗 庭 汝 和 共 训 法 顶 
了 硬件 和 声音 
连接 到 投影 仪 
调整 常用 移动 设置 


J 


局 区 站 区 全 

图 5.34 Windows 7 控制 面板 图 5.35 【Windows 防火 墙 】 选 项 
很 多 用 户 可 能 知道 ， 在 Windows 防火 墙 的 设置 中 ， 一 旦 防火 墙 设置 不 好 ， 除 了 会 阻止 
网 络 恶 意 攻击 之 外 ， 甚 至 会 阻挡 用 户 正常 访问 互联 网 ， 所 以 不 敢 轻 易 动 手 。 如 果 是 安装 了 
专业 的 全 功能 安全 软件 ， 那 这 个 难题 完全 交 给 它 就 能 很 好 地 解决 ， 但 现在 需要 用 户 手动 来 
开启 Windows 防火 墙 也 并 不 困难 。 进 入 【用 户 Windows 防火 墙 】 设 置 窗口 , 如 图 5.36 所 示 ， 


计算 机 网 络 安全 技术 国 


选中 【启用 Windows 防火 墙 】 单 选 按钮 即 可 开启 防火 墙 ， 而 且 就 算 用户 进 行 了 某 些 错误 的 
操作 影响 上 网 也 不 必 担 心 ， Windows 7 操作 系统 提供 了 防火 墙 “ 还 原 默 认 设 置 ” 功 能 ， 如 
5.37， 用 户 只 需 单 击 【 还 原 默认 设置 】 按 钮 即 可 马上 将 防火 墙 还 原 到 初始 状态 。 


可 以 们 要 所 全 用 每 和 类 于 的 内 二 人 号 的 大 过 轩 


至 宇 攻 工 (#( 寺 则 网 才 ( 重 导 
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WO eR wndow oa 
由 目 所 传人 连理 “外 于 们 于 区 六 得 译 列表 二 的 但 刘 
贱 Windows 的 炎 和 组 止 新 得 于 间 和 殉 
国生 wdom Mra 


图 5.36 防火墙 自 定义 设置 图 5.37 还 原 防 火 墙 默认 设置 

(3) 从 低 到 高 ，Windows 7 防火 墙 覆盖 了 所 有 用 户 。 

如 果 高 级 用 户 非常 了 解 Windows 防火 墙 , 可 以 进行 更 加 详细 全 面 的 配置 , 单 击 进入 【高 
级 设置 】 项 ，【 出 入 站 规则 】、【 连 接 安 全 规则 】 等 选项 都 可 以 在 这 里 进行 自 定义 配置 。 
当然 ， 如 果 用 户 已 经 安装 有 全 功能 专业 安全 软件 ， 那 么 所 有 这 些 都 交 给 安全 软件 代为 管理 
即 可 。 
单 击 主 界面 左 侧 的 【打开 或 关闭 Windows 防火 墙 】 选 项 打开 防火 墙 的 【 自 定义 设置 】 
界面 ， 从 中 用 户 可 以 分 别 对 局 域 网 和 公 网 采用 不 同 的 安全 规则 ， 两 个 网 络 中 用 户 都 有 【 启 
用 】 和 【关闭 】 两 个 选择 ， 如 图 5.38 所 示 ， 也 就 是 启用 或 者 是 禁用 Windows 防火 墙 。 当 启 
用 了 防火 墙 后 ， 还 有 两 个 复 选 项 可 以 选择 ， 其 中 【阻止 所 有 传 入 连接 】 复 选 框 在 某 些 情况 
下 是 非常 实用 的 ， 当 用 户 进入 到 一 个 不 太 安全 的 网 络 环境 时 ， 可 以 暂时 选中 这 个 复 选 框 ， 
禁止 一 切 外 部 连接 ， 即 使 是 Windows 防火 墙 设 为 “例外 ”的 服务 也 会 被 阻止 ， 这 就 为 处 在 
较 低 安全 性 的 环境 中 的 计算 机 提供 了 较 高 级 别 的 保护 。 


使 用 Windows 防火 墙 来 帮助 保护 您 的 计算 机 
世 许 得 译 或 功能 通过 Windows 。 Windows 防火 二 有 鄙 于 防止 村 或 于 村 软件 通过 Internet 到 网络 
Et 芒 火 夫 各 何 帮 织 保 护 计算 机 7? 
加 更 二 什么 时 网 洛 位 置 ? 
各 打开 或 关 半 Windows 防火 才 
一 国信 I 人 (Sms(0) 
© wean 围 人 ms 
对 网 次 进 行 生 进 角 答 
公共 声 所 (0 从 场 或 昌 震 天) 中 的 网 墙 
Windows 防火 堵 状 态 : 室 用 
传 入 连 运 : 阻止 所 有 与 未 在 
活动 8 公用 网 洛 : 无 
通知 状 志 : 
图 5.38 防火 墙 
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3， 本章 习题 

一 、 选 择 题 

1. 下 列 ( 。”) 不 是 硬件 防火 墙 的 端口 。 
A. WAN B. LAN C. DMZ D. USB 

2. 下 列 (””) 不 是 CPU 构架 下 的 防火 墙 分 类 。 
A. X86 架构 防火 墙 B. Windows 7 防火 墙 
C.NP 架构 防火 墙 D. ASIC 架构 防火 墙 

二 、 思 考题 


1. 防火 墙 的 局 限 性 有 哪些 ? 
2. 如 何 彻 底 关 闭 防火 墙 ? 


(和 二 


本 章 主要 学 习 Windows Server 2008 的 安全 问题 ， 要 点 如 下 。 
国 ”Windows Server 2008 的 基本 知识 。 

加 ”Windows Server 2008 的 安全 模块 和 常用 功能 。 

图。 Windows Server 2008 的 基本 设置 。 


学 会 安装 Windows Server 2008。 
基本 掌握 高 级 安全 Windows 防火 墙 的 设置 
熟练 Windows Server 2008 相关 安全 设置 。 

使 用 Windows Server 2008 的 安全 功能 实现 有 关 


计算 机 网 络 安全 技术 加 


“3 6.1 工作 场景 导入 


相信 很 多 人 都 知道 Windows Server 2008 系统 的 安全 功能 非常 强大 ， 而 它 的 强大 之 处 不 
仅仅 是 新 增加 了 一 些 安全 功能 ， 而 且 还 表现 在 一 些 “ 不 起 眼 ” 的 传统 功能 上 。 用 户 可 以 在 
Windows Server 2008 系统 下 完成 如 下 功能 。 

(1) 限制 使 用 迅雷 进行 恶意 下 载 。 在 管理 、 维 护 局 域 网 的 过 程 中 ， 网 络 管理 员 或 许 经 
常会 遇 到 这 样 的 一 种 现象 ， 那 就 是 一 些 不 自觉 的 上 网 用 户 往 往 会 在 局 域 网 中 偷偷 使 用 电驴 、 
迅雷 这 样 的 P2P 工具 ， 来 下 载 大 容量 的 电影 或 其 他 多 媒体 数据 ， 这 种 恶意 下 载 操作 消耗 掉 
局 域 网 中 有 限 且 宝贵 的 带宽 资源 ， 并 且 很 容易 造成 整个 局 域 网 网 络 不 能 稳定 地 运行 。 要求: 
利用 Windows Server 2008 系统 新 增加 的 高 级 安全 防火 墙 功能 ， 来 控制 局 域 网 内 的 迅雷 恶意 
下 载 行为 。 

(2) 在 多 人 共同 使 用 一 台 计算 机 进行 工作 时 ， 我 们 肯定 不 希望 普通 用 户 随意 使 用 迅雷 
工具 进行 恶意 下 载 ， 这 样 不 但 容易 浪费 本 地 系统 的 磁盘 空间 资源 ， 而 且 也 会 大 大 消耗 本 地 
系统 的 上 网 带宽 资源 。 要 求 : 利用 Windows Server 2008 系统 新 增加 的 高 级 安全 防火 墙 功能 ， 
来 控制 他 人 在 计算 机 上 使 用 迅雷 恶意 下 载 的 行为 。 

(3) 禁止 普通 用 户 随意 上 网 访问 。 通 常 Windows Server 2008 系统 都 被 安装 到 重要 的 计 
算 机 中 ， 为 了 防止 该 计算 机 系统 受到 安全 威胁 ， 我们 往往 需要 想 办 法 限制 普通 用 户 在 该 系 
统 中 随意 上 网 访问 ; 但 是 如 果 简 单 关闭 该 系统 的 上 网 访问 权限 ， 又 会 影响 特权 用 户 正 常 上 
网 。 要 求 : 利用 Windows Server 2008 系统 限制 普通 用 户 上 网 ， 而 又 不 影响 特权 用 户 进行 上 
网 访问 。 


6.2 Windows Server 2008 概述 


6.2.1 Windows Server 2008 的 新 特性 


历时 三 年 的 研发 ， 微 软 终于 在 2008 年 推出 了 新 一 代 的 Windows Server 系统 。 在 过 去 的 
一 段 时 间 中 ，Windows Server 的 前 一 代 产 品 Windows Server 2000/2003 均 得 到 了 用 户 的 一 
致 好 评 。 而 且 无 论 是 大 型 企业 用 户 还 是 中 小 型 用 户 都 对 Windows Server 2000/2003 给 予 了 
足够 的 肯定 。 

Windows Server 2008 是 跨 时 代 的 产品 ， 各 项 特性 和 功能 进一步 提高 ，Windows Server 
2008 在 其 安全 性 、 灵 活性 、 移 动 性 、 可 靠 性 方面 得 到 了 进一步 的 提高 。 具 体 表现 如 下 。 

(1) 安装 过 程 更 加 友好 。Windows Server 2008 的 安装 过 程 基本 是 在 一 个 图 形 用 户 界 
的 环境 下 完成 的 ， 并 且 处 理 大 部 分 初始 化 工作 。 从 安装 完成 到 能 够 正常 使 用 ， 整 个 过 程 大 
约 需要 15 分 钟 (按照 不 同 计算 机 配置 有 一 些 不 同 ), 基本 能 够 实现 无 人 值守 安装 。 在 Windows 
Server 2008 的 整个 安装 过 程 ， 我 们 需要 进行 输入 的 唯一 信息 就 是 产品 的 密 钥 。 

(2) 服务 器 管理 控制 台 的 功能 得 到 进一步 提升 。Windows Server 2008 的 服务 器 管理 控 


制 台 (Server Manager) 得 到 了 进一步 的 升级 强化 ， 除 了 能 让 管理 员 添 加 服务 器 角 
务 器 的 组 
他 一 些 在 过 去 的 安装 过 程 


界面 给 


和 编辑 其 
(3) 虚拟 化 ,虚拟 化 是 Windows Server 2008 的 一 个 重 
的 虚拟 化 功能 能 “创建 ”许多 的 虚拟 服务 器 ， 最 大 限度 地 发 挥 Windows Server 2008 的 作用 


用 
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色 和 配置 服 


节 外 ， 新 的 服务 器 管理 控制 台 还 允许 配置 时 间 和 时 区 、 设 定 Windows Update 等 其 


中 的 设置 。 


弹出 来 的 问题 ， 大 大 减少 了 手动 安装 系统 的 时 间 。 统 一 的 管理 
户 呈 现 了 一 个 清晰 的 服务 器 配置 界面 ， 用 户 可 以 根据 自己 的 需要 和 爱好 随意 修改 


三 大 创新 功能 。Windows Server 2008 


它 的 Hyper.V 技术 可 让 用 户 无 须 购买 任何 供应 商 的 软件 ， 即 能 将 服务 器 角色 虚拟 化 ， 使 其 


成 为 在 


一 实体 机 器 上 执行 的 不 同 虚拟 机 器 (VM)。Windows Server Hyper.V 系 属 下 一 代 


Hypervisor.based 服务 器 虚拟 化 技术 ， 可 让 用 户 整合 服务 器 ， 以 便 能 更 有 效 地 使 用 硬件 ， 以 
及 增强 终端 机 服务 (TS) 功 能 ， 改 善 演示 虚拟 化 (Presentation Virtualization)， 并 使 用 更 简单 的 
授权 条 款 让 用 户 能 更 直接 地 使 用 这 些 技术 。 
(4) 新 增 网 络 访问 保护 NAP(Network Access Protection) 系 统 , 使 得 企业 的 个 人 计算 机 必 
须 完成 一 系列 的 管理 性 测试 和 任务 ， 否 则 是 不 能 连接 到 网 络 的 ， 这 大 大 地 加 强 了 整个 企业 
中 网 络 的 安全 性 和 稳定 性 。 
(5) Windows Server 2008 的 防火 墙 针 对 Windows Server 2000/Windows Server 2003 有 
着 极 大 的 改进 ， 之 前 的 操作 系统 ， 其 自 带 的 防火 墙 功 能 过 于 简陋 ， 而 Windows Server 2008 
修改 之 后 的 高 级 防火 墙 让 系统 的 安全 性 大 幅 提 升 。 


中 。 


Windows Server 2008 的 防火 墙 是 基于 主机 的 状态 防火 墙 ， 
IPSEC， 对 防火 墙 和 企业 内 部 的 网 络 攻 击 进行 防护 。 它 不 但 支持 双 
入 站 进行 过 滤 ， 而 且 将 Windows 防火 墙 功能 和 Internet 协议 安全 (IPSEC) 集 成 到 一 
这 些 高 级 选项 可 以 按照 环境 所 需 的 方式 配置 密 钥 交 换 、 数 据 保护 (完整 性 和 加 密 ) 


使 


它 整合 了 主机 防火 墙 和 
向 保护 ， 即 可 以 对 出 站 、 
个 控制 台 


以 及 身份 验证 设置 。 并 且 WFAS 还 可 以 实现 规则 配置 ， 则 可 进一步 提高 安全 性 。 如 果 数 据 


包 与 规则 中 的 标准 不 匹配 ， 防 火 墙 将 丢弃 该 数据 包 ， 并 在 防火 墙 日 


启 


用 了 


(6) 独创 的 只 读 域 控制 器 (Read Only Domain Controllers，RODC)。 


志 记 录 )。 


志文 件 中 创建 条 目 (如 果 


它 是 用 户 可 以 安装 


在 远程 站 点 的 域 控制 器 ， 借 助 RODC， 系 统 可 以 在 无 法 保证 物理 安全 性 的 位 置 中 轻松 部 署 


域 


控制 器 ，RODC 承载 着 Active Directory 域 服务 数据 库 的 只 读 部 分 。 


6.2.2 ”Windows Server 2008 的 安装 与 登录 


如 何 安装 Windows Server 2008 并 登录 其 主页 面 呢 ? 具体 操作 如 下 : 


(1) 将 Windows 操作 系统 光盘 插入 光驱 ， 并 以 光驱 引导 ， 出 现 如 图 6.1 所 示 的 界面 ， 


表示 引导 成 功 。 


(2) 选择 语言 、 


(3) 单 击 【现在 安装 】 按 钮 ， 如 图 6.3 所 示 。 


(4) 选 


继续 。 


键盘 和 输入 方式 等 信息 ， 并 单 击 【 下 一 步 】 按 钮 继续 ， 如 图 6.2 所 示 。 


bh 要 安装 的 Windows Server 2008 版 本 ， 如 图 6.4 所 示 ， 单 击 【 下 一 步 】 按 钮 
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图 6.1 安装 界面 1 
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现在 安装 人 他 
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(5) 选中 【我 接受 许可 条 款 】 复 选 框 ， 并 单 击 【下 一 步 】 按 钮 继续 ， 如 图 6.5 所 示 。 


请 阅读 许可 条 款 


Corporaoon ( Microsot Corporsoon 关 i 
与 多 之 冰 达 所 的 协议 。 请 间 奖 条 藉 骨 吝 、 Fr Cre 
件 的 介 (如 有 》。 这 此 条 著 包 放风 于 Microsoft 为 恋 检 件 供 的 任何 


， 本 新 

亲友 得 床 
基于 mtemet 的 各 秀 知 
支持 妥 


6.5 安装 界面 5 
(6) 在 安装 类 型 中 选择 【 自 定义 (高 级 )】 选 项 ， 如 图 6.6 所 示 。 


及 eee 


Mi 
升 信 已 桂 补 后 用 
~ 和 和 维 丙 从 aors 局 污 。 


图 6.6 安装 界面 6 
(7) 进入 到 配置 磁盘 界面 ， 单 击 右 下 方 的 【驱动 器 选项 (高 级 )】 链 接 ， 如 图 6.7 所 示 。 


图 6.7 安装 界面 7 


(8) 单 击 【 新 建 】 按 钮 ， 创 建新 的 分 区 ， 并 在 【大 小 】 微 调 框 中 输入 分 区 大 小 ， 单 击 
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【应 用 】 按 钮 ， 如 图 6.8 所 示 。 


村 8 中 su ED 
sr RRD A 
R 


[F-* 四 |] 
6.8 安装 界面 8 


(9) 重复 上 述 步 又， 创建 其 余 分 区 ， 创 建 完 所 有 分 区 后 ， 在 空白 窗口 中 会 显示 所 有 已 
创建 的 分 区 ， 然 后 单 击 【下 一 步 】 按 钮 ， 如 图 6.9 所 示 。 


Or 


您 想 将 只 mdoms 安装 在 何 处 ? 


8 Xml 中 At 
ra FR 


图 6.9 安装 界面 9 
(10) 系统 启动 安装 程序 ， 并 自动 进行 Windows 的 安装 ， 如 图 6.10 所 示 。 


正在 安装 骨 ndows. .。 


目前 我 们 只 党 要 这 些 信息 。 安 装 过 程 中 计 其 机 梧 谍 乔 新 语 翅 区 六 


V EN 
展开 文件 0 
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(11) 安装 完成 后 ， 系 统 自动 重启 ， 第 一 次 登录 系统 时 要 求 用 户 必 须 修改 密码 ， 单 击 【 确 
定 】 按 钮 进行 修改 ， 如 图 6.11 和 图 6.12 所 示 。 
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正在 安装 骨 ndows..。 


目前 我 们 只 党委 这 些 信 息 。 安 半 过 程 中 计 基 机 司 能 重新 启 贡 区 次 


党 Mindowsserver 008 
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(12) 输入 两 次 新 密码 ， 然 后 单 击 图 图 标 ， 如 图 6.13 所 示 。 


Administrator 
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(13) 系统 会 进行 密码 修改 ， 然 后 提示 修改 成 功 ， 然 后 单 击 【 确 定 】 按 钮 登录 系统 ， 如 
图 6.14 所 示 。 


只 WindowsServerzo08 


图 6.14 安装 界面 14 
(14) 进入 到 桌面 ， 系 统 安装 完毕 并 完成 启动 ， 如 图 6.15 所 示 。 
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6.15 ”安装 成 功 


6.2.3 ”Windows Server 2008 的 内 存 管理 


内 存 管理 是 指 软件 运行 时 对 计算 机 内 存 资 源 的 分 配 和 使 用 的 技术 。 其 最 主要 的 目的 是 
如 何 高 效 、 快 速 分 配 ， 并 且 在 适当 的 时 候 释 放 和 回收 内 存 资源 。 
Windows Server 2008 常用 的 内 存 管理 如 下 。 


1. 观察 当前 内 存 的 使 用 状况 


将 鼠标 放 在 Windows Server 2008 界面 的 工具 栏 上 ， 右 击 ， 选 择 【 任 务 管理 器 】 选 项 ， 
弹出 【Windows 任务 管理 器 】 窗 口 ， 切 换 到 【性 能 】 选 项 卡 ， 如 图 6.16 所 示 。 
二 
文件 中) 选项 0) 查看 (0) 帮助 00 


应 用 程序 | 进程 | 服务。 性 能 | 联网 | 用 户 | 
fe ce 使 用 记录 


| | 

「 内 存 物理 内 存 使 用 记录 

物理 内 存 0B) 系统 

| 号 | | 2 号 

可 用 469 | 进 3 
司 2:37:33 

Ee | 

1 


EE z 

图 6.16 【性 能 】 选 项 卡 
在 该 选项 卡 中 ，CPU 和 各 种 内 存 的 使 用 情况 便 显示 出 来 了 。 
其 中 主要 参数 说 明 如 下 。 
CPU 使 用 : 表明 处 理 器 工作 时 间 百 分 比 的 图 表 ， 该 计数 器 是 处 理 器 活动 的 主要 指示 器 。 
CPU 使 用 记录 : 显示 处 理 器 的 使 用 程序 随时 间 变 化 的 图 表 。 图 表 中 显示 的 采样 情况 取 
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决 于 【查看 】 菜 单 中 【更 新 速度 】 的 设置 值 【高 】 表 示 每 秒 2 次 ，【 正 常 】 表 示 每 2 秒 1 
次 ，【 低 】 表 示 每 4 秒 1 次 ，【 和 暂停 〗】 表 示 不 自动 更 新 。 
内 存 : 显示 的 是 正在 使 用 的 内 存 之 和 ， 包 括 物理 内 存 和 虚拟 内 存 。 物 理 内 存 是 真正 的 
内 存 ， 顾 名 思 义 ， 在 应 用 中 物理 上 实际 的 内 存 是 多 大 就 是 多 大 了 。 查 看 机 器 配置 的 时 候 ， 
看 的 就 是 这 个 物理 内 存 。 虚 拟 内 存 是 为 了 满足 系统 对 超出 物理 内 存 容量 的 需求 时 在 外 存 (如 
硬盘 ) 上 开辟 的 存储 空间 。 由 于 虚拟 内 存 其 实 是 放 在 外 存 上 的 ， 因 而 与 物理 内 存 相 比 ， 它 的 
读 写 速度 比较 慢 。 
若 要 查看 更 多 关于 内 存 的 信息 ， 则 在 【Windows 任务 管理 器 】 的 【进程 】 选 项 卡 中 选 
择 【 查 看 】 一 【选择 列 】 选 项 ， 弹 出 【选择 进程 页 列 】 界 面 ， 如 图 6.17 所 示 ， 选 中 想 要 观 
察 的 内 存 信息 ， 单 击 【 确 定 】 按 钮 即 可 。 


站 indors 任务 管理 轿 西 梧 | 
文件 吕 ) 选 硕 0) 查看 VW 帮助 00 | 
迁 择 进 程 页 列 3 | 


请 选择 “任务 管理 器 ”进程 页 上 将 显示 的 列 * 


图 6.17 选择 进程 页 列 
2. 内 存 不 足 


内 存 不 足 的 征兆 : 内 存 不 足 的 征兆 包括 性 能 差 、 内 存 不 足 的 通知 以 及 显示 问题 。 例 如 ， 
当 计 算 机 内 存 不 足 时 ， 若 尝试 打开 程序 中 的 菜单 ， 则 此 程序 可 能 响应 很 慢 或 者 显示 停止 响 
应 。 如 果 出 现 选 择 菜 单 ， 则 尝试 单 击 某 项 时 它 可 能 不 响应 ， 或 者 可 能 不 显示 所 有 项 目 。 如 
果 单 击 某 个 菜单 项 ， 该 菜单 可 能 也 会 消失 并 且 屏 幕 上 显示 空白 区 域 ， 而 不 显示 正在 使 用 的 
文档 或 者 文件 内 容 。 

为 什么 会 出 现 内 存 不 足 的 问题 ? 计算 机 有 两 种 类 型 的 内 存 即 随机 存 取 内 存 (RAM) 和 虚 
拟 内 存 。 所 有 程序 都 使 用 RAM， 但 是 当 没 有 足够 RAM 用 于 程序 时 ，Windows 临时 将 通 
常 存储 在 RAM 中 的 信息 “移动 ”到 硬盘 上 称 为 “页 面 文件 ”的 文件 中 。 临 时 存储 在 页 面 
文件 中 的 信息 量 也 称 为 虚拟 内 存 。 使 用 虚拟 内 存 ， 换 句 话说 就 是 从 页 面 文件 中 来 回 “ 移 动 ” 
信息 ， 可 以 为 程序 释放 足够 的 RAM 以 便 程序 正常 运行 。 当 计算 机 RAM 不 足 时 会 出 现 内 
存 不 足 的 问题 ， 并 且 虚 拟 内 存 也 会 不 足 。 当 运行 的 程序 多 于 计算 机 上 设计 支持 安装 的 RAM 
时 ， 就 会 发 生 上 述 情况 。 当 程序 没有 释放 其 不 再 需要 的 内 存 时 也 会 发 生 内 存 不 足 的 问题 。 
该 问题 称 为 “内 存 使 用 过 度 ” 或 内 存 泄漏 。 

3. 防止 内 存 不 足 


一 次 运行 较 少 的 程序 可 以 防止 出 现 内 存 不 足 的 问题 并 可 防止 信息 丢失 。 最 好 观察 开启 
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哪些 程序 会 出 现 内 存 不 足 状 况 的 征兆 ， 并 尽量 不 同时 运行 它们 。 但 是 ， 运 行 有 限 数量 的 程 
序 并 不 总 是 方便 的 或 实际 的 。 内存 不 足 的 征兆 可 能 表示 计算 机 需要 更 多 的 RAM 来 支持 使 
程序 。 以 下 是 解决 或 防止 出 现 内 存 不 足 问题 的 推荐 方法 。 

(1) 增加 页 面 文件 (虚拟 内 存 ) 的 大 小 。 计 算 机 第 一 次 内 存 不 足 时 ，Windows 会 自动 尝试 
增加 页 面 文件 的 大 小 , 但 是 用 户 也 可 以 手动 将 其 增加 到 由 安装 的 RAM 量 确定 的 最 大 值 。 尽 
管 增加 页 面 文件 的 大 小 可 以 帮助 防止 出 现 内 存 不 足 的 问题 ， 但 是 它 也 会 使 用 户 的 程序 运行 
速 
区 


速度 更 缓慢 。 由 于 计算 机 从 RAM 中 读 取信 息 的 速度 大 于 从 硬盘 (页 面 文件 所 在 的 硬盘 ) 中 读 
的 速度 ， 因 此 若 程序 使 用 太 多 的 虚拟 内 存 将 使 其 速度 减 慢 。 

(2) 安装 更 多 RAM。 用 户 如 果 看 到 内 存 不 足 的 征兆 或 者 Windows 提示 的 关于 内 存 不 足 
的 问题 , 请 检查 计算 机 附带 的 信息 , 或 与 计算 机 制造 商 联系 以 确定 计算 机 兼容 的 RAM 类 型 ， 
然后 安装 更 多 的 RAM。 若 要 安装 RAM， 请 仔细 确认 制造 商 提供 的 信息 。 


仿 6.3 Windows Server 2008 的 安全 模型 


6.3.1 Windows Server 2008 的 安全 策略 


已 进行 强化 并 整合 部 分 身份 识别 和 访问 技术 的 Windows Server 2008 操作 系统 , 因 包 含 
了 多 项 创新 的 安全 性 ， 而 使 得 由 策略 驱动 的 网 络 更 容易 部 署 ， 并 可 协助 保护 用 户 的 服务 器 
基础 架构 、 资 料 和 企业 。Windows Server 2008 的 安全 策略 主要 有 以 下 3 项 。 

1. 威胁 和 漏洞 减少 技术 

这 些 技术 针对 恶意 软件 的 威胁 和 入 侵 ， 通 过 阻止 、 隔 离 和 恢复 策略 提供 分 层 防 御 。 此 
技术 资料 集 提供 了 产品 和 技术 的 文档 和 资源 ， 这 些 产 品 和 技术 可 帮助 保护 客户 端 、 应 用 程 
序 服务 器 和 网 络 外 围 免 遭 恶意 软件 (如 间谍 软件 、Rootkit 和 病毒 ) 的 攻击 。 

2. 安全 配置 评估 与 管理 技术 

Windows Server 2008 可 以 使 用 这 些 技术 来 管理 本 地 系统 上 或 整个 分 层 防御 中 的 安全 ， 
还 可 以 管理 现 有 的 威胁 、 有 关 风 险 评估 、 安 全 配置 扫描 和 分 析 ， 以 及 其 他 安全 配置 评估 和 
管理 技术 的 详细 信息 。 该 技术 包括 授权 管理 器 、 安 全 审核 、 安 全 配置 向 导 、 软 件 限 制 策略 
和 安全 配置 与 分 析 。 

3. 身份 认证 和 访问 控制 

Windows Server 2008 的 身份 认证 和 访问 控制 。 

主要 包括 智能 卡 、 授 权 访问 控制 、Bitlocker 驱动 器 加 密 、 受 信任 的 平台 模块 管理 和 加 
密 文件 系统 等 。 这 些 技术 用 于 管理 凭据 ， 只 允许 合法 用 户 访问 设备 、 应 用 程序 和 数据 。 


6.3.2 ”Windows Server 2008 的 高 级 安全 防火 墙 


Windows Server 2008 在 安全 性 和 可 人 靠 性 方面 有 很 多 的 提升 ， 就 安全 策略 管理 方面 就 可 


以 明显 看 到 增加 了 很 多 内 容 。 
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高 级 安全 Windows 防火 墙 将 主机 防火 墙 和 Internet 协议 安全 性 (IPSEC) 结 合 在 一 起 。 与 


边界 防火 墙 不 同 ， 高 级 安全 Windows 防火 墙 在 每 台 运 行 此 版 本 Windows 的 计算 机 上 运行 ， 


并 对 可 能 穿越 边界 网 络 或 源 于 组 织 内 部 的 网 络 攻击 提供 本 地 保护 。 通 过 人 允许 
信 进 行 身份 验证 和 数据 保护 ， 它 还 提供 计算 机 到 计算 机 的 连接 安全 。 

高 级 安全 Windows 防火 墙 专 供需 要 在 企业 环境 中 管理 
适 于 在 家 庭 网 络 中 使 用 。 家 庭 用 户 应 考虑 使 用 【控制 
程序 。 举 例 来 说 : 公司 中 如 果 有 员工 偷偷 使 用 P2P 了 
影响 公司 网 络 正常 使 用 ， 就 可 用 高 级 安全 Windows 防火 墙 进行 控制 。 


j 户 要 求 对 通 


网 络 安全 的 IT 管理 员 使 用 。 它 不 
i 板 】 中 提供 的 【Windows 
[ 具 下 载 电 影 、 游 戏 ， 大 量 占 


防火 墙 】 
带宽 ， 


考虑 到 P2P 工具 在 进行 恶意 下 载 操作 时 ， 会 通过 系统 的 3077 端口 对 外 进行 网 络 通信 ， 
我 们 只 要 让 高 级 安全 防火 墙 功 能 限制 3077 端口 对 外 进行 网 络 通信 ， 就 能 实现 阻止 上 网 用 户 
偷偷 使 用 迅雷 这 样 的 P2P 工具 进行 恶意 下 载 了 。 现 在 ,我 们 就 利用 Windows Server 2008 系 


统 的 高 级 安全 防火 墙 功能 创建 安全 访问 规则 ， 禁 止 P2P 工具 进行 下 载 连接 。 


首先 ， 以 系统 管理 员 身份 进入 Windows Server 2008 系统 桌面 ,选择 【 开 始 】 一 【程序 】 


一 【管理 工具 】 一 【服务 器 管理 器 】 命 令 ， 从 其 后 出 现 的 【服务 器 管理 器 】 窗 
处 ， 依 次 单 击 展 开 【 配 置 】\【 高 级 安全 Windows 防火 墙 】 节 点 。 如 图 6.18 所 示 。 


屁 , 服务 考官 理 属 
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高 级 安全 Windews 防火 培 


族人 i Nh ine 计 共和 提 


概述 
域 配 置 文件 
加 indors 防火 墙 已 启用 。 


专用 配置 文件 
加 windows 防火 墙 已 启用 。 


公用 配置 文件 是 活动 的 
入 indors 防火 墙 已 启用 。 


阻止 与 规则 不 匹配 的 入 站 连接 。 
@ “允许 与 规则 不 匹配 的 出 让 连接 。 


镶 ” 阻 止 与 规则 不 匹配 的 入 站 连接 。 
@ 允许 与 规则 不 四 本 的 出 站 连接 。 


钰 阻止 与 规则 不 四 本 的 入 站 连接 。 
> 


图 6.18 ”进入 高 级 安全 防火 墙 


其 次 ， 打 开 【 高 级 安全 防火 墙 】 配 置 界 面 ， 在 该 界面 左 侧 位 置 处 选择 【出 站 规则 】 功 


能 选项 ， 再 从 对 应 该 功能 选项 的 右 侧 位 置 处 选择 【新 规则 】 功 能 选项 ， 如 图 6.19 和 图 6.20 


所 示 。 
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双击 打开 安全 【出 站 规则 向 导 】 对 话 框 ， 当 向 导 对 话 框 询问 要 进行 何 种 类 型 的 控制 操 
作 时 ， 用 户 可 选中 【端口 】 单 选 按钮 ， 以 便 让 高 级 安全 防火 墙 功能 对 本 地 计算 机 中 3077 端 
的 网 络 连接 进行 限制 ， 如 图 6.21 和 图 6.22 所 示 。 


规则 类 型 
选择 要 他 了 的 防 炎 坟 机 则 类型 
3: 
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rr 
控制 Windors 体验 功能 这 挤 的 规则 。 
人 自 定 XC) 
自 定 XN。 


6.21 ”安全 出 站 规则 创建 向 导 1 


协议 和 端口 

指定 此 规则 匹配 的 协议 和 应 口 * 

步骤 : 

2 规则 类 型 该 规则 应 用 于 TCP 还 是 WDP? 

了 协议 和 端口 PREP 
F 

。 操作 UDP 

配置 文件 

。。 名称 该 规则 应 用 于 所 有 本 地 端口 还 是 特定 本 地 端口? 
个 所 有 本 地 雍 口 A) 


伙 特定 本 地 端口 (S)- 


示例 : 80，443，8080 


图 6.22 ”安全 出 站 规则 创建 向 导 2 


接着 单 击 【 下 一 步 】 按 钮 ， 在 其 后 出 现 的 设置 对 话 框 中 选中 TCP 单 选 按钮 ， 并 且 选 中 
【特定 本 地 端口 】 单 选 按钮 ， 此 时 【特定 本 地 端口 】 文 本 框 会 被 自动 激活 ， 在 该 文本 框 中 
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直接 输入 “3077” 端 口号 码 ， 再 单 击 【 下 一 步 】 按 钮 后 ， 向 导 屏 幕 会 弹出 提示 询问 “连接 
符合 指定 条 件 时 应 该 进行 什么 操作 ”， 这 个 时 候 我 们 必须 将 【阻止 连接 】 功 能 选项 选中 ， 
之 后 设置 好 该 安全 规则 具体 的 应 用 范围 。 在 这 里 我 们 可 以 同时 选中 【 域 】、【 专 用 】 和 【 公 
上 】 这 三 种 应 用 环境 ， 最 后 为 新 创建 的 出 站 规则 设置 一 个 合适 的 名 称 ， 再 单 击 【 完 成 】 按 
钮 ， 结 束 安全 出 站 规则 的 创建 工作 ， 这 样 任何 一 位 上 网 用 户 在 本 地 Windows Server 2008 系 
统 中 尝试 进行 恶意 下 载 时 ，Windows Server 2008 系统 自 带 的 高 级 安全 防火 墙 功能 就 对 自动 
对 这 样 的 恶意 下 载 进行 拦截 ， 那 么 本 地 网 络 的 运行 稳定 性 自然 也 就 能 得 到 有 效 保 证 了 。 

当然 ， 除 了 端口 协议 可 以 控制 外 ， 还 可 以 根据 应 用 程序 、 用 户 、 计 算 机 、 卫 地 址 范围 、 
验证 方式 等 多 方面 进行 控制 ， 非 常 灵活 。 由 于 可 以 通过 组 策略 进行 设置 ， 不 需要 用 户 在 每 
台 计 算 机 上 在 进行 安装 设置 (以 前 需要 在 每 个 客户 机 上 安装 个 人 防火 墙 软件 ), 大 大 减轻 了 管 
理工 作 量 。 


6.3.3 Windows Server 2008 的 网 络 访问 控制 策略 


公司 里 有 很 多 人 用 移动 办 公设 备 ， 很 可 能 出 现 各 种 安全 问题 : 如 病毒 库 更 新 不 及 时 、 
系统 补丁 没有 安装 等 情况 。 这 样 状态 “不 健康 ”的 计算 机 接 入 公司 内 网 后 ， 很 可 能 给 公司 
网 络 带 来 危险 。 这 时 就 可 用 NPS 把 关 了 。 当然 要 实现 网 络 访问 保护 策略 要 先 安装 NPS 服务 ， 
管理 员 可 通过 【服务 器 管理 器 】 窗 口中 的 添加 角色 向 导 ， 手 工 添加 NPS 服务 ， 如 图 6.23 所 
示 。 进 而 在 DHCP 服务 中 进行 相应 设置 ， 就 可 以 配置 NPS 策略 。NPS 策略 包含 ， 网 络 健康 
验证 器 、 更 新 服务 器 组 、 健 康 策略 和 网 络 策略 四 部 分 内 容 ， 将 对 加 入 到 公司 网 络 的 计算 机 
进行 验证 、 隔 离 、 补 救 以 及 健康 策略 审核 。 


| 
文件 报 作 内。 下 看 WD 于 助 如 
旬 申 | 让 | 日 
me | 
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图 6.23 安装 NPS 


NAP 部 署 后 ， 当 外 出 用 户 回 到 公司 登录 到 公司 的 网 络 时 ， 首 先进 行 客户 端 检测 ， 没 有 
安装 最 新 病毒 库 的 计算 机 ， 自 动 连接 到 病毒 库 更 新 服务 器 升级 病毒 库 ， 没 有 安装 系统 补 ] 
的 计算 机 ， 自 动 连接 到 WSUS 服务 器 升级 补丁 ， 没 有 启用 防火 墙 的 计算 机 ， 提 示 客 户 端 启 


计算 机 网 络 安全 技术 日 


防火 墙 。 当 以 上 条 件 满足 后 ， 人 允许 客户 端 连接 到 内 部 网 络 中 ， 这 样 可 以 最 大 限度 地 保证 
网 络 安全 。 


舍 6.4 Windows Server 2008 的 账号 管理 


6.4.1 Windows Server 2008 的 空白 账号 控制 


在 可 信任 的 内 网 工作 环境 中 ， 网 络 管理 员 为 了 能 够 提高 控制 效率 ， 总 喜欢 使 用 空白 密 
码 的 账户 对 内 网 中 的 重要 计算 机 系统 进行 控制 和 管理 操作 。 可 是 ， 当 他 们 尝试 使 用 空白 密 
码 的 账户 对 Windows Server 2008 系统 进行 控制 时 ， 却 发 现 对 应 系统 禁止 使 用 空白 密码 ， 或 
者 即使 允许 使 用 空白 密码 ， 但 是 使 用 这 样 的 空白 密码 账户 也 无 法 对 Windows Server 2008 系 
统 进行 有 效 控制 。 那 么 我 们 有 没有 办 法 使 用 空白 密码 的 账户 ， 对 Windows Server 2008 系统 
进行 高 效 控制 呢 ? 其 实 很 简单 ， 我 们 只 要 对 与 该 系统 相关 的 组 策略 参数 进行 合适 设置 ， 就 
能 实现 上 述 控制 目的 了 。 

首先 ,选择 Windows Server 2008 系统 桌面 上 的 【开始 】 一 【运行 】 命令, 在 弹出 的 【 运 
行 】 对 话 框 中 ， 输 入 命令 “gpeditmsc”， 单 击 【 确 定 】 按 钮 ， 打 开 对 应 系统 的 【本 地 组 策 
略 编辑 器 】 窗 口 ， 如 图 6.24 所 示 。 
FETITETT TE NE 二 加 到 
| 文件 四 操作) 查看 9 帮助 0 
| 生 革 | 上品 | 国 于 | 回避 | 

| 丑 本 地 计算 机 策略 


选择 一 个 项 目 来 查看 它 的 描述 。 和 
策 计算 机 配置 
网 用 户 配置 


图 6.24 【本 地 组 策略 编辑 器 】 窗 口 


其 次 ， 在 该 窗口 的 左 侧 ， 选 择 【 计 算 机 配置 】\【Windows 设置 】\【 安 全 设置 ] \【 账 户 
策略 】\【 密 码 策略 】 选 项 ， 在 对 应 【密码 策略 】 选 项 的 右 侧 显示 区 域 ， 双 击 【密码 长 度 最 
小 值 】 选 项 ， 从 其 后 出 现 的 【本 地 安全 设置 】 对 话 框 中 ， 将 密码 长 度 设 置 为 “0 个 字符 ”， 
再 单 击 【确定 】 按 钮 ， 保 存 上 述 设置 操作 结果 ， 如 图 6.25 所 示 。 

接着 ， 再 选择 【计算 机 配置 】\【Windows 设置 】\【 安 全 设置 】\【 本 地 策略 】\【 安 全 
选项 】 选 项 ， 在 对 应 【安全 选项 】 选 项 的 右 侧 显示 区 域 ， 拖 动 下 拉 列 表 框 找到 【 目标 组 策 
略 】 选 项 ， 并 双击 ， 打 开 【 目 标 组 策略 编辑 器 】 对 话 框 ， 选 中 其 中 的 【已 禁用 】 单 选 按钮 ， 
再 单 击 [确定 按钮 执行 设置 保存 操作 , 如 此 一 来 , 用户 就 能 使 用 空白 密码 的 账户 对 Windows 
Server 2008 系统 进行 高 效 控制 和 管理 操作 了 (如 图 6.26 所 示 )。 
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图 6.26 目标 组 策略 选项 设置 


6.4.2 智能 备份 本 地 所 有 账户 


如 果 Windows Server 2008 系统 同时 创建 了 若干 个 重要 的 用 户 账 号 ， 对 于 这 些 用 户 账 号 
的 信息 平时 不 加 以 备份 、 保 存 的 话 ， 一 旦 Windows Server 2008 系统 日 后 遇 到 意外 不 能 正常 
运行 时 ， 所 有 用 户 账号 信息 也 会 在 瞬间 丢失 ， 而 我 们 往往 很 难 通过 手工 记忆 的 方法 将 它们 
正确 恢复 到 原始 状态 。 为 了 保护 本 地 所 有 用 户 账号 信息 的 安全 ， 可 以 直接 使 用 Windows 
Server 2008 系统 自 带 的 账号 备份 功能 ， 来 定期 对 本 地 系统 中 的 所 有 用 户 账号 信息 执行 智能 
备份 操作 。 具 体操 作 步 又 如 下 。 

(1) 以 系统 特权 账号 登录 Windows Server 2008 系统 ， 打 开 该 系统 桌面 上 的 【开始 】 菜 
单 ， 从 中 选择 【运行 】 选 项 ， 并 在 弹出 的 【运行 】 对 话 框 中 输入 credwiz 命令 ， 单 击 【确定 】 
按钮 。 

(2) 选中 该 向 导 设 置 对 话 框 中 的 【备份 存储 的 用 户 名 和 密码 】 单 选 按钮 ， 如 图 6.27 所 
示 ， 然 后 单 击 【 下 一 步 】 按 钮 。 


计算 机 网 络 安全 技术 国 


EF=7n 
图 6.27 备份 存储 的 用 户 名 和 密码 1 


(3) 打开 如 图 6.28 所 示 的 设置 对 话 框 ， 单 击 【 浏 览 】 按 钮 ， 从 其 后 出 现 的 【文件 夹 选 


择 】 对 话 框 中 ,设置 好 用 户 账号 备份 文件 的 保存 文件 夹 ， 同 时 设置 好 备份 文件 的 名 称 ， 最 
后 单 击 【保存 】 按 钮 。 如 此 一 来 Windows Server 2008 系统 就 能 智能 将 本 地 系统 的 所 有 账号 


信息 存储 到 一 个 “.crd” 格 式 的 文件 中 了 。 


人 存 半 的 用 户 名 和 密码 
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6.28 备份 存储 的 用 户 名 和 密码 2 


(4) 如 果 以 后 Windows Server 2008 系统 中 的 用 户 账号 信息 不 小 心 被 破坏 或 丢失 ， 用 户 
可 以 再 次 打开 用 户 账号 备份 向 导 设置 窗口 ， 选 中 【还 原 存 储 的 用 户 名 和 密码 】 单 选 按钮 ， 
导入 “.crd” 格 式 的 备份 文件 ， 这 样 Windows Server 2008 系统 的 用 户 账号 信息 就 能 很 快 恢 


复 正常 了 。 
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6.4.3 ”账户 安全 策略 


与 传统 操作 系统 不 同 的 是 ，Windows Server 2008 系统 可 以 对 前 一 次 登录 本 地 系统 的 用 
户 账户 信息 进行 追踪 记录 ， 利 用 这 个 功能 ， 用 户 可 以 监控 系统 处 于 空闲 状态 时 ， 是 否 有 用 
户 偷偷 登录 本 地 计算 机 的 情况 。 在 默认 状态 下 ，Windows Server 2008 系统 并 不 能 对 用 户 账 
户 的 登录 状态 信息 进行 追踪 、 记 忆 ， 用 户 需要 按照 下 面 的 设置 操作 将 该 功能 启用 。 

首先 ， 选 择 Windows Server 2008 系统 桌面 上 的 【开始 】 一 【运行 】 命 令 ， 打开 【运行 】 
对 话 框 ， 输 入 gpedit.msc 命令 ， 同 时 单 击 【 确 定 】 按 钮 ， 进 入 对 应 系统 的 【本 地 组 策略 编辑 
器 】 窗 口 ， 然 后 将 鼠标 定位 于 该 窗口 左 侧 位 置 处 的 【计算 机 配置 】 选 项 ， 并 逐一 展开 下 1 
的 【管理 模板 】 选 项 ， 如 图 6.29 所 示 。 


映 本 地 组 策略 编辑 赤 


选择 一 个 项 目 来 查看 它 的 扬 述 。 


图 6.29 ”管理 模板 
其 次 ， 选 择 【Windows 组 件 】 一 【Windows 登录 选项 】 命 令 ， 弹 出 如 图 6.30 所 示 的 
界面 。 
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双击 右 侧 的 【在 用 户 登录 期 间 显示 有 关 以 前 登录 的 信息 】 选 项 ， 此 时 系统 屏幕 上 会 
出 现 如 图 6.31 所 示 的 目标 组 策略 属性 对 话 框 , 将 其 中 的 【已 启动 】 项 目 选 中 , 然后 单 击 【 确 
定 】 按 钮 保存 上 述 设置 操作 。 如 此 一 来 Windows Server 2008 系统 就 可 以 追踪 用 户 账户 登录 
信息 了 。 


| 
证 | | 
加 在 用 户 合 录 姑 间 时 示 有 关 以 前 登录 的 信息 


取消 应 用 的 
图 6.31 登录 信息 
这 样 , 用 户 每 次 重新 启动 成 功 Windows Server 2008 系统 后 ,系统 屏幕 会 自动 弹出 提示 ， 


显示 上 一 次 登录 系统 的 用 户 账户 信息 ， 根 据 这 些 信息 我 们 就 能 大 概 判断 出 究竟 是 否 有 人 偷 
偷 登 录 本 地 计算 机 系统 了 。 


6.4.4 即时 监控 账号 创建 状态 


Internet 网 络 中 的 一 些 病毒 或 木马 常常 会 暗地里 在 Windows Server 2008 系统 中 创建 恶 
意 账户 ， 日 后 通过 恶意 账户 就 能 对 本 地 计算 机 系统 实施 非法 攻击 了 。 那 么 我 们 能 否 在 第 一 
时 间 知 道 Windows Server 2008 系统 中 有 新 的 用 户 账号 被 偷偷 创建 了 呢 ? 其 实 很 简单 ， 我 们 
可 以 利用 Windows Server 2008 系统 新 增加 的 附加 任务 计划 功能 ， 对 用 户 账号 的 创建 事件 进 
行 即 时 监控 报警 。 下 面 是 具体 的 监控 报警 步骤 。 

(1) 选择 Windows Server 2008 系统 的 【开始 】 一 【运行 】 命 令 ， 打 开本 地 系统 的 【 运 
行 】 对 话 框 ， 输 入 secpol.msc 命令 ， 进 入 对 应 系统 的 本 地 安全 策略 控制 台 窗口 ， 如 图 6.32 

(2) 在 该 安全 策略 控制 台 窗口 的 左 侧 选择 【本 地 策略 】\ 民 审核 策略 】 选 项 ,在 对 应 【 审 
核 策略 】 分 支 选项 的 右 侧 显示 区 域 处 ， 双 击 【 审 核 账 户 管理 】 组 策略 选项 ， 打 开 如 图 6.33 
所 示 的 【审核 账户 管理 属性 】 对 话 框 ， 选 中 该 对 话 框 中 的 【成 功 】 复 选 框 ， 再 单 击 【确定 】 
按钮 执行 设置 并 保存 操作 。 

(3) 选择 【开始 】\【 程 序 】\【 服 务 器 管理 器 】 命 令 ， 在 【服务 器 管理 器 】 窗 口 左 侧 选 
择 【 配 置 】 选 项 ， 再 依次 展开 其 下 面 的 【本 地 用 户 和 组 】\【 用 户 】 选 项 ， 右 击 【 用 户 】 选 
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项 ， 选 择 右键 快捷 菜单 中 的 【新 有 用户】 选项， 创建 一 个 新 用 户 账号 ， 如 图 6.34 所 示 。 
3 到 


可 三 和 账户 访 定 第 区 

审核 、 朋 广 公 利和 安全 半 硕 第 

indows 卫 火 墙 高 安全 Windoms 防 欠 培 
iol 


pas 雹 BR 全 性 ms) 取消 应 用 O) 
图 6.32 ”本 地 安全 策略 控制 台 窗口 图 6.33 ”审核 账户 管理 


和 时 | 轴 加 | 区 | 加 | 品 
服务 过 生理 各 TDMXQPO2CT 


管理 计算 机 ( 域 ) 的 内 置 帐户 
供 来 宾 访问 计算 机 或 访问 域 的 内 . 


日 二 
任务 计划 程序 

田 斩 高 级 安全 Windows 防火 
号 服务 


上 
二 WII 控制 
日 鞭 本 地 用 户 和 组 
] 用 户 
司 组 
田 钻 存 铺 


到 


显示 当前 选择 的 帮助 。 


图 6.34 ”服务 器 管理 器 


下 面 打 开 Windows Server 2008 系统 的 【控制 面板 】 窗 口 ， 双 击 【 管 理工 具 】 图 标 ， 再 
双击 【事件 查看 器 】 选 项 ， 依 次 单 击 【Windows 日 志 】\【 安 人 全】 选项， 在 【安全 】 选 项 右 
侧 可 看 到 先前 创建 新 用 户 账号 的 事件 已 经 产生 ， 如 图 6.35 所 示 。 

右 击 目标 事件 选项 ， 并 选择 快捷 菜单 中 的 【将 任务 附加 到 此 事件 】 选 项 , 在 弹出 的 【 创 
建 基本 任务 向 导 】 对 话 框 中 ， 依 照 向 导 提示 创建 一 个 自动 报警 提示 的 任务 计划 ， 例 如 用 户 
可 以 选用 “显示 消息 ”报警 方式 ， 并 将 报警 内 容 设置 为 “有 人 偷偷 在 本 地 非法 创建 账户 ”， 
这 样 一 来 ， 日 后 当 有 木马 程序 或 非法 攻击 者 偷偷 在 Windows Server 2008 系统 中 创建 用 户 账 
号 时 ， 用 户 就 能 即时 在 系统 屏幕 上 看 到 “有 人 偷偷 在 本 地 非法 创建 账户 ”这 样 的 报警 提示 ， 
户 也 就 能 在 第 一 时 间 知 道 用 户 账号 的 创建 状态 了 。 
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事件 4672 ,Microsoft Windows security auditing. 
| 


为 新 登录 分 配 了 特殊 权限 。 
= 让 
图 6.35 事件 查看 器 


入 6.5 Windows Server 2008 的 注册 表 


6.5.1 注册 表 的 由 来 


注册 表 (Registry, 繁体 中 文 版 Windows 称 之 为 登录 ) 是 Microsoft Windows 中 的 一 个 重要 
的 数据 库 ， 用 于 存储 系统 和 应 用 程序 的 设置 信息 。Windows 注册 表 是 帮助 Windows 操作 系 
统 控制 软件 、 硬 件 、 用 户 环境 和 界面 的 数据 信息 ， 是 Windows 中 的 一 个 重要 的 数据 库 。 注 
册 表 在 Windows 3.0 时 期 已 经 出 现 ， 在 Windows 95 开始 发 扬 光 大 ， 并 在 其 后 的 操作 系统 中 


继续 沿用 至 今 。【 注 册 表 编辑 器 】 窗 口 如 图 6.36 所 示 。 


公 注册 表 编 辑 器 
文件 EE 编辑 于) 查看 QW 收 送 夹 W) 帮助 0 
= EE 人 
由 - 国 HEEY_CLASSES_ROOT 
田 HEET_CURRENT_USER 
田 HFEY_LOCAL NACHINE 
由 国 HKEY_USERS 
由 国 HKEY_CURRENT_CONFIG 


图 6.36 注册 表 
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注册 表 是 为 Windows NT 中 所 有 32 位 硬件 驱动 和 32 位 应 用 程序 设计 的 数据 文件 。16 
位 驱动 在 Windows NT 下 无 法 工作 ， 所 以 所 有 设备 都 通过 注册 表 来 控制 ， 一 般 这 些 是 通过 
BIOS 来 控制 的 。 在 Windows 95 下 ，16 位 驱动 会 继续 以 实 模式 方式 来 工作 ， 它 们 使 
system.ini 来 进行 控制 。16 位 应 用 程序 会 工作 在 Windows NT 或 者 Windows 95 下 ， 它 们 的 
程序 仍然 会 利用 win.ini 和 system.ini 文件 获得 信息 和 控制 。 在 没有 注册 表 的 情况 下 , 操作 系 
统 不 会 获得 运行 和 控制 附属 设备 、 应 用 程序 和 正确 响应 用 户 输入 的 必要 信息 。 
当 一 个 用 户 准备 运行 一 个 应 用 程序 时 ， 注 册 表 提供 应 用 程序 信息 给 操作 系统 ， 这 样 应 
程序 就 可 以 被 找到 ， 正 确 的 数据 文件 位 置 也 被 规定 了 ， 其 他 设置 也 都 可 以 使 用 了 。 
注册 表 控 制 所 有 32 位 应 用 程序 和 驱动 ， 控 制 的 方法 是 基于 用 户 和 计算 机 的 ， 而 不 依赖 
于 应 用 程序 或 驱动 ， 每 个 注册 表 的 参数 项 控制 了 一 个 用 户 功能 或 者 计算 机 功能 。 用 户 功能 
可 能 包括 了 桌面 外 观 和 用 户 目录 。 所 以 ， 计 算 机 功能 和 安装 的 硬件 和 软件 有 关 ， 对 所 有 月 
户 来 说 都 是 公用 的 。 
有 些 程序 功能 对 用 户 有 影响 ， 而 有 些 是 作用 于 计算 机 而 不 是 为 个 人 设置 的 ， 
驱动 可 能 是 用 户 指定 的 ， 但 在 很 多 时 候 ， 它 们 在 计算 机 中 是 通用 的 。 


样 的 ， 


| 


6.5.2 ”注册 表 的 相关 术语 


下 面 介绍 注册 表 的 相关 术语 。 

(1) hkey: “ 根 键 ”或 “主键 ”， 它 的 图 标 与 资源 管理 器 中 文件 夹 的 图 标 有 点 相似 。 
Windows 将 注册 表 分 为 六 个 部 分 ， 并 称 之 为 HKEY_name， 它 代表 着 某 一 键 的 句柄 。 

(2) key( 键 ): 包含 了 附加 的 文件 夹 和 一 个 或 多 个 值 。 

(3) subkey( 子 键 ): 在 某 一 个 键 ( 父 键 ) 下 面 出 现 的 键 ( 子 键 )。 

(4) branch( 分 支 ): 代表 一 个 特定 的 子 键 及 其 所 包含 的 一 切 。 一 个 分 支 可 以 从 每 个 注册 
表 的 顶端 开始 ， 但 通常 用 以 说 明 一 个 键 和 其 所 包含 的 内 容 。 

(5) value entry( 值 项 ): 带 有 一 个 名 称 和 一 个 值 的 有 序 值 。 每 个 键 都 可 包含 任何 数量 的 
值 项 。 每 个 子 项 均 由 三 部 分 组 成 : 名 称 、 数 据 类 型 和 数据 。 

(6) reg_sz( 字 符 串 ): 顾名思义 ， 一 串 ASCII 码 字符 。 如 “Hello World”， 是 一 串 文字 
或 词组 。 在 注册 表 中 ， 字 符 串 值 一 般 用 来 表示 文件 的 描述 、 硬 件 的 标识 等 。 通 常 它 由 字母 
和 数字 组 成 。 注 册 表 总 是 在 引号 内 显示 字符 串 。 

(7) reg_binary( 二 进 制 ): 如 F03D990000BC ， 是 没有 长 度 限 制 的 二 进 制 数 值 ， 在 注册 
表 编 辑 器 中， 二 进 制 数据 以 十 六 进 制 的 方式 显示 出 来 。 

(8) reg_dword)( 双 字 : 从 字面 上 理解 应 该 是 Double Word ， 双 字 节 值 。 由 1 一 8 个 十 六 
进 制 数据 组 成 ， 我 们 可 用 十 六 进 制 或 十 进 制 的 方式 来 编辑 ， 如 D1234567。 

(9) default( 默 认 值 ): 每 一 个 键 至 少 包 括 一 个 值 项 ， 称 为 默认 值 (defaulb， 它 总 是 一 个 字 串 。 


6.5.3 ”注册 表 的 基本 信息 


下 面 介绍 一 下 注册 表 的 基本 信息 。 
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1. HKEY_CLASSER_ROOT 


该 键 之 下 至 少 包括 100 个 关键 字 ， 这 个 分 支 下 主要 包括 OLE 数据 ， 还 包括 文件 扩 
名 、 文 件 和 应 用 程序 的 关联 数据 ， 改 变 分 支 中 的 数据 结构 和 内 容 将 直接 影响 到 系统 软件 
应 用 ， 此 键 下 的 信息 都 被 保存 在 system.dat 文件 中 。 


2. HKEY_USER 


在 这 个 关键 字 下 显示 的 信息 都 被 保存 在 user.dat 文件 中 ， 这 包含 了 与 具体 用 户 有 关 的 
Desktop( 桌 面 ) 配 置 、 网 络 连接 和 Start 菜单 。 如 果 用 户 的 计算 机 被 配置 为 “使 用 用 户 权限 ” 
的 配置 文件 , 那么 系统 就 会 为 每 个 用 户 创建 一 个 单独 的 user.dat 文件 。 当 一 个 用 户 登录 到 计 
算 机 上 时 ，Windows 将 读 取 那个 用 户 的 user.dat 文件 ， 并 把 该 文件 放 入 内 存 的 注册 表 中 。 

3. HKEY_CURRENT_USER 

它 是 适用 于 当前 用 户 的 HKEY_USER 部 分 。 如 果 只 有 一 个 用 户 ， 即 默认 用 户 ， 那 么 
HKEY USERVDefault 和 HKEY_ CURRENT USER 是 相同 信息 的 不 同 显示 方式 。 

4. HKEY_LOCAL MACHINE 

这 是 针对 计算 机 硬件 以 及 安装 的 软件 所 设 定 的 分 支 。 如 果 计 算 机 有 多 个 硬件 配置 ， 那 
么 每 个 配置 的 信息 都 保存 在 这 里 。 如 果 你 查看 一 下 该 分 支 下 的 SOFTWARE 信息 ， 会 发 现 
生产 已 安装 软件 的 公司 的 名 字 都 在 该 信息 中 了 ， 这 个 分 支 为 关于 每 个 公司 产品 的 与 具体 机 
器 有 关 的 信息 存放 提供 一 个 方便 的 地 方 。 在 这 儿 ， 你 还 可 以 发 现 应 用 程序 的 名 字 、 版 本 数 、 
应 用 程序 路 径 名 以 及 硬件 设置 。Microsoft 也 使 用 这 个 分 支 注 册 它 的 软件 。 

5. HKEY_CURRENT_CONFIGURATION 


在 这 里 用 户 可 以 找到 显示 设置 情况 和 使 用 的 打印 机 。 


6.5.4 注册 表 的 备份 与 恢复 


1. 注册 表 的 备份 

选择 【开始 】 一 【运行 】 命 令 ， 在 弹出 的 【运行 】 对 话 框 中 输入 regedit， 弹 出 【注册 
表 编 辑 器 】 窗 口 。 选 择 【 注 册 表 】 一 【导出 注册 表 文 件 】 命 令 ， 弹 出 【导出 注册 表 文件 】 
对 话 框 ， 如 图 6.37 所 示 。 选 择 注册 表 备 份 文件 的 保存 路 径 、 名 称 以 及 保存 全 部 还 是 只 保存 
注册 表 的 某 个 分 支 。 根 据 自 己 的 需要 设 定好 后 ， 单 击 【保存 】 按 钮 ， 即 可 完成 注册 表 的 
备份 。 

2. 注册 表 的 恢复 

按 上 述 步骤 打开 【注册 表 编 辑 器 】 后 ， 选 择 【 注 册 表 】 一 【引入 注册 表 文 件 】 命 令 ， 
弹出 【引入 注册 表 文件 】 对 话 框 ， 如 图 6.38 所 示 。 


找到 曾经 导出 的 注册 表 备 份 文件 ， 单 击 【 打 开 】 按 钮 即 完成 注册 表 的 恢复 ， 恢 复 完 成 
后 出 现 一 个 提示 框 ， 单 击 【确定 】 按 钮 并 重新 启动 计算 机 即 可 完成 注册 表 的 恢复 。 


空 弄 
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6.37 【导出 注册 表 文 件 】 对 话 框 
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图 6.38 【引入 注册 表 文 件 】 对 话 框 


6.5.5 ”注册 表 的 应 用 


1. 登录 计算 机 而 无 须 按 Ctrl+Alt+Del 键 


选择 【开始 】 一 【运行 】 命 令 ， 在 弹出 的 【运行 】 对 话 框 的 文本 框 中 输入 gpedit.msc， 
进入 组 策略 编辑 器 。 选 择 【 计 算 机 配置 ]\【Windows 配置 】 \【 安 全 设置 ]】 \【 本 地 策略 】\ 
【安全 选项 】\【 交 互 式 登录 】\【 无 须 按 Ctrl+AlttDel】 选 项 ， 选 中 【已 启用 】 单 选 按钮 ， 
如 图 6.39 所 示 。 


2. 让 Windows Server 2008 启动 后 直接 进入 系统 ， 而 无 须 输 入 用 户 密码 


即 关闭 Windows Server 2008 的 复杂 性 密码 要 求 : 选择 【开始 】-~~【 运 行 】 命 令 ,， 在 【 运 
行 】 对 话 框 的 文本 框 中 输入 gpeditmsc, 进入 组 策略 编辑 器 。 选择 【 计 算 机 配置 ]\【Windows 
配置 】 \【 安 全 设置 】 \【 账 户 策略 】\【 密 码 策略 】\【 密 码 必须 符合 复杂 性 要 求 】 选 项 ， 选 
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中 【已 禁用 】 单 选 按 钮 ， 如 图 6.40 所 示 。 


文件 FF) 操作 查看 W) 帮助 00 
和 和 中 | 六 [于 | 和 日 汪 1 日 本 


关机 : 允许 系统 在 未 登录 的 情况 下 关闭 已 杏 用 
恢复 控制 台 : 允许 软盘 复制 并 访问 所 有 驱动 .。 已 禁用 
恢复 控制 各: 允许 自动 管理 登录 已 二 用 
交互 式 登录 : 不 显示 最 后 和 用户 名 已 禁用 
交互 式 登录 : 斌 名 登录 的 用 户 的 消息 标题 


交互 式 登录 :提示 用 户 在 过 期 之 前 更 光 密 码 “14 天 


交互 式 登录 ET 已 二 用 
交互 式 登录 : 需要 智能 - 已 禁用 
交互 式 登录 2 25 登录 
ee 智能 卡 移 除 行为 无 操作 

设备 ;防止 用 户 安装 打印 机 驱动 程序 已 启用 
设备 : 将 CD-R0W 的 访问 权限 仅 限于 本 地 登 . 。 没有 定 
设备 : 将 软盘 驱动 器 的 访问 权限 仅 限于 本 地 ,,， 没有 定 
设备 :允许 对 可 移动 埋 体 进行 格式 化 并 弹出 “没有 定 
设备 :允许 在 未 登录 的 情况 下 弹出 已 启用 
审核 : 对 备份 和 还 原 权限 的 使 用 进行 审核 已 禁用 
审核 ;对 全 局 系统 对 象 的 访问 进行 审核 已 大 用 


密码 长 度 最 小 值 


日 国 Windors 设置 本 码 最 返 使用 戎 限 0 天 
肢 本 (让 动 关机) 密码 最 长 使 用 切 
有 人 站 强制 宝 码 历史 个 记 位 的 密码 
人 用 本 还 了 地 人生 三。 已 有 
可 二 帐户 定 第 路 


图 6.40 进入 系统 无 须 用 户 密码 
3. 安装 桌面 体验 


由 于 Windows Server 2008 是 服务 器 系统 ， 默 认 没 有 华丽 的 桌面 体验 效果 。 开 启 桌 面体 
验 的 方法 如 下 : 选择 【服务 器 管理 】 一 【功能 】 一 【添加 功能 】 一 【桌面 体验 】 命 令 ， 如 
果 用 户 有 无 线 设备 ， 如 笔记 本 的 无 线 网 卡 等 ， 无 线 功 能 也 要 选中 。 设 置 完毕 后 ， 重 启 计算 
机 ， 系 统 将 继续 自动 配置 至 完成 ， 如 图 6.41 所 示 。 


图 [Windows Server Baclmp 功能 
田 口 Windors 进程 激活 服务 

口 Windors 内 部 数据 库 

口 rindows 系统 资源 管理 器 


差分 压缩 
远程 服务 器 管理 工具 
远程 协助 


SE 
口 组 第 中 管 理 


图 6.41 安装 桌面 体验 
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6.5.6 ”注册 表 的 权限 


Windows Server 2008 中 的 系统 注册 表 权 限 。 如 果 打 开 Windows 资源 管理 器 ， 右 击 
Local Disk (C:) 选 项 ， 选 择 【Security( 安 全 )】 选 项 卡 ， 并 选择 【属性 (Properties)】， 用 户 会 
看 到 管理 员 具 备 完全 控制 权限 。 如 果 选 择 Group or user names( 组 或 用 户 名 ) 列 表 框 中 的 
SYSTEM 选项 ， 将 会 看 见 SYSTEM 同样 具有 完全 控制 权限 。 当 选择 Group or user names 
选项 的 Users( 用 户 ) 选 项 时 ， 权 限 情况 则 比较 复杂 。 图 6.42 中 系统 上 的 用 户 组 具备 Read 多 
Execute、List folder contents、Read 等 权限 。 单 击 Advanced( 高 级 ) 按 钮 ， 将 显示 出 与 该 用 户 
组 相关 联 的 权限 的 详细 信息 ， 如 图 6.43 所 示 。 


sr Local Disk (C:) Properties xl 


Authenticated Users 
双 SYSTEM 
中 Administators InancymichelhHPCWdministrators] 


To change permissions, cick Ed En. 
Permissions for Users Alow Deny 
Read & execute Vv 
List folder contents Vv 
Read Vv 
Wiite 
Special permissions bd 
a eps eee pe rT 
图 6.42 注册 表 的 权限 1 图 6.43 ”注册 表 的 权限 2 


户 组 成 员 可 以 在 系统 驱动 器 根 目录 下 创建 文件 夹 并 向 文件 添加 数据 。 如 果 单 
Edit( 编 辑 ) 按 钮 ， 将 看 到 另 一 项 对 子 文件 夹 的 特殊 授权 ， 如 图 6.44 所 示 。 注 意 : 此 操作 需要 
管理 员 权限 。 


ET 


上 


IDOOOoOoooooo| 


凶 


图 6.44 注册 表 的 权限 3 
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在 Windows Server 2008 中 用 户 可 以 看 到 ， 普 通用 户 默认 可 以 在 系统 驱动 器 的 根 目录 中 
创建 子 文件 夹 ， 并 向 这 些 文件 夹 添加 内 容 。 为 Windows Server 2008 中 的 用 户 组 成 员 提供 该 
功能 的 原因 是 某 些 第 三 方 软件 假定 存在 这 些 权 限 ， 而 Microsoft 不 想 破坏 应 用 程序 的 兼 
容 性 。 


6.5.7 ”注册 表 的 优化 


优化 配置 Windows Server 2008， 可 使 它 更 适合 用 户 的 需求 。 
1. 提高 Windows Server 2008 系统 关机 速度 


选择 Windows Server 2008 系统 桌面 上 的 【开始 】 一 【运行 】 命 令 ， 打 开 【 运 行 】 对 话 
框 ， 输 入 regedit 命令 后 单 击 【 确 定 】 按 钮 ， 打 开 【 注 册 表 编辑 器 】 窗 口 ， 如 图 6.45 所 示 。 


olx) 
文件 四 ， 编 的 查看) 收藏 大， 帮助 00 


poocee, 于 
(MY CURRENT_USER\Contr ol Panal\Desktop Wi tT ok AppTineout 


6.45 ”提高 关机 速度 1 
定位 注册 表 到 HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control， 设 
置 键 值 WaitToKillServiceTimeout 为 1， 如 图 6.46 所 示 。 


EFTTE iolx] 
文件 下 】 编 强 开 )】 查看 cm， 收 基 夫 0， 帮助 00) 


图 6.46 提高 关机 速度 2 


2. 自动 释放 DLL 占用 的 内 存 


打开 【注册 表 编 辑 器 】 窗 口 ， 定 位 到 HKEY_ LOCAL _MACHINE\\SOFTWARE\\ 
Microsoft\\Windows\\CurrentVersion\\Explorer， 设 置 键 值 AlwaysUnload DLL 为 1， 如 
图 6.47 所 示 。 
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BETTEREEE = 加 划 
文件 中， 绩 手 四 查看 (收藏 大 惟 ， 帮助 00 
,一 一 一 = 
Ee 


加 


ME LCA ADINEVSOF THRE\ Ni cr osoft Tindors\Curr entYer sion\Explor er VALvays / 


图 6.47 自动 释放 DLL 占用 内 存 


人 6.6 Windows Server 2008 常用 的 系统 进程 和 服务 


6.6.1 进程 


进程 是 指 在 系统 中 正在 运行 的 一 个 应 用 程序 ， 是 操作 系统 进行 资源 分 配 的 重要 单位 。 
线程 是 系统 分 配 处 理 器 时 间 资 源 的 基本 单元 ， 或 者 说 进程 之 内 独立 执行 的 一 个 单元 。 对 于 
操作 系统 而 言 ， 其 调度 单元 是 线程 。 一 个 进程 至 少 包 括 一 个 线程 ， 通 常 将 该 线程 称 为 主线 
程 。 一 个 进程 从 主线 程 的 执行 开始 进而 创建 一 个 或 多 个 附加 线程 ， 就 是 所 谓 基于 多 线程 的 


多 任务 ， 如 图 6.48 所 示 。 


进程 与 程序 的 区 别 
户 就 启动 了 一 个 进程 。 
以 分 为 系统 进程 和 用 户 
们 就 是 处 于 运行 状态 下 


i EE 
文件 中 选项 0) 查看 WY) 帮助 00 
应 程序 拉 程 | 局 男 。 | 性 实 | 联 | 月 户 | 


EY 代用 18% 先是 由 丰 :42% [ 坟 


图 6.48 进程 


: 进程 是 程序 在 计算 机 上 的 一 次 执行 活动 。 当 运行 一 个 程序 时 ， 


/ 


显然 ， 程 序 是 “ 死 的 ”( 静 态 的 )， 进 程 是 “ 活 的 ”( 动 态 的 )。 进 
进程 。 凡 是 用 于 完成 操作 系统 的 各 种 功能 的 进程 就 是 系统 进程 
的 操作 系统 本 身 ; 用 户 进程 就 是 所 有 由 用 户 启 动 的 进程 。 


程 五 


， 它 
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6.6.2 Windows Server 2008 常用 的 系统 进程 


Windows Server 2008 常用 的 系统 进程 如 下 。 
csrss.exe: 子 系统 服务 器 进程 。 
dllhost.exe: ”用 于 管理 DLL 应 用 。 
dwm.exe: 桌面 窗口 管理 器 ( 跟 桌 面 有 关 的 )。 

Explorer.exe: ”资源 管理 器 。 

lsass.exe: ”本 地 安全 权限 服务 。 

lsm.exe: ”本 地 会 话 管理 器 服务 。 

msdtc.exe: 分 布 式 传输 协调 程序 。 

services.exe: 用 于 管理 启动 和 停止 服务 。 

SLsvc.exe: 软件 授权 技术 。 

smss.exe: 会 话 管理 子 系统 。 

spoolsv.exe: 管理 所 有 本 地 和 网 络 打 印 队 列 及 控制 所 有 打印 工作 。 
svchost.exe: 从 动态 链接 库 (DLL) 中 运行 的 服务 。 

taskeng.exe: 任务 计划 程序 引擎 。 


6.6.3 ”进程 管理 简介 


结束 进程 : 鼠标 放 在 任务 栏 上 ， 右 击 后 选择 【任务 管理 器 】 选 项 ， 弹 出 【Windows 任 
务 管理 器 】 窗 口 ， 将 鼠标 放置 在 需要 结束 的 进程 上 ， 右 击 后 选择 【结束 进程 】 选 项 ， 或 选 
择 该 进程 后 单 击 右 下 角 【 结 束 进 程 】 按 钮 ， 如 图 6.49 所 示 。 

打开 进程 位 置 : 打开 【Windows 任务 管理 器 】 窗 口 ， 右 击 后 选择 【打开 文件 位 置 】 选 
项 ， 弹 出 图 6.50 所 示 的 窗口 ， 从 中 可 找到 该 进程 所 在 的 位 置 。 


CEZXZON =19lx 
| 人 Si 人 @) [Systes2 ~ ”Is 加 
文件 中 编辑 G) 查看 %) 工具 0) 帮助 00 
组 织 > 这 视 图 > 打开 人 到 季 四 
Er 2 = 了 “| 大 小 < 
A 多 diskeopy all 2008/11/2 。 应 用 程序 扩展 ”1, 488 
2006/9/19 Microso ft 47 
2009/4/11 应 用 程序 117 
2006/11/2 应 用 程序 17 | 
2009/4/11 应 用 程序 226 
2009/4/11 应 用 程序 348 
2008/1/19 应 用 程序 扩展 35 
2008/1/19 应 用 程序 119 
2008/1/19 应 用 程序 扩展 32 
008/11 用 程序 7 
2008/11/2 应 用 程序 7 
2008/1/19 应 用 程序 扩展 。 379 
2008/1/19 应 用 程序 扩展 。 “180 
2008/11/2 ..， 应 用 程序 扩展 。 524 
0 于 2008/1/19 应 用 程序 扩展 2 
厅 显示 所 有 用 户 的 进程 S) 结束 进程 四 2008/11/2 应 用 程序 扩展 23 泗 
4 


图 6.49 结束 进程 图 6.50 查找 进程 位 置 
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6.6.4 Windows Server 2008 的 系统 服务 日 志 


选择 【开始 】 一 【程序 】 一 【管理 工具 】 一 【服务 器 管理 器 】 命 令 ， 在 弹出 的 【 


服务 


器 管理 器 】 窗 口 左 侧 选 择 【 诊 断 】 一 【事件 查看 器 】 选 项 ， 双 击 【 应 用 程序 和 服务 
选项 ， 如 图 6.51 所 示 ， 便 可 查看 系统 服务 与 系统 日 志 ， 并 进行 相应 的 操作 。 
ETEEEEE 理 

文件 人 F) 操作 WA) 查看 W) 帮助 00 

名 中 | 郁 | 辐 | 虽 | 梧 


也 服 务 器 管理 器 omF51XQPO2CIT 1d E33 
也 


角色 
站 功能 
EE 济 pe 管理 的 0 
日 国 事件 查看 器 Key Management Service 管理 的 0 6 
田村 自 定义 视图 
田 区 Yindaows 日 志 管理 的 0 6 


图 6.51 查看 系统 服务 与 系统 日 志 


志 】 


Rw 6.7 ”Windows Server 2008 系统 的 安全 模板 


6.7.1 安全 模板 概述 


“安全 模板 ”是 一 种 可 以 定义 安全 策略 的 文件 表示 方式 ， 它 能 够 配置 账户 和 本 地 策略 、 
事件 日 志 、 受 限 组 、 文 件 系统 、 注 册 表 、 系 统 服务 等 项 目的 安全 设置 。 安 全 模板 都 以 .inf 格 
式 的 文本 文件 存在 ， 用 户 可 以 方便 地 复制 、 粘 贴 、 导 入 或 导出 这 些 模板 。 此 外 ， 安 全 模板 
并 不 引入 新 的 安全 参数 ， 而 只 是 将 所 有 现 有 的 安全 属性 放置 到 一 个 位 置 以 简化 安全 性 管理 ， 


并 且 提供 了 一 种 快速 批量 修改 安全 选项 的 方法 。 
Windows Server 2008 系统 已 经 预定 义 了 几 个 安全 模板 ， 以 帮助 加 强 系统 安全 。 


@ ”Compatws.inf: 提供 基本 的 安全 策略 ， 执 行 具有 较 低级 别 的 安全 性 但 兼容 性 更 好 的 


环境 。 


@ Hisecws.inf: 提供 高 安全 性 的 客户 端 策略 模板 ， 执 行 高 级 安全 的 环境 ， 是 对 加 密 和 
签名 作 进 一 步 限 制 的 安全 模板 的 扩展 集 ， 这 些 加 密 和 签名 是 进行 身份 认证 和 保证 数据 通过 


安全 通道 以 及 在 SMB 客户 机 和 服务 器 之 间 进 行 安全 传输 所 必需 的 。 


@@ Rootsec.inf: 确保 系统 根 的 安全 ， 可 以 指定 由 Windows XP Professional 所 引入 的 新 
的 根 目录 权限 。 默 认 情 况 下 ，Rootsec.inf 为 系统 驱动 器 根 目录 定义 这 些 权 限 。 如 果 不 小 心 更 
改 了 根 目录 权 限 ， 则 可 利用 该 模板 重新 应 用 根 目录 权限 ， 或 者 通过 修改 模板 对 其 应 用 相同 


的 根 目录 权限 。 


@ Secure.inf: 定义 了 至 少 可 能 影响 应 用 程序 兼容 性 的 增强 安全 设置 ， 还 限制 了 
LAN Manager 和 NTLM 身份 认证 协议 的 使 用 ， 其 方式 是 将 客户 端 配置 为 仅 可 发 送 NTLMv2 


响应 ， 而 将 服务 器 配置 为 可 拒绝 LAN Manager 的 响应 。 
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@ Setupsecurity.inf: 重新 应 用 默认 设置 。 这 是 一 个 针对 特定 计算 机 的 模板 ， 它 代表 在 
安装 操作 系统 期 间 所 应 用 的 默认 安全 设置 ， 其 设置 包括 系统 驱动 器 的 根 目录 的 文件 权限 ， 
可 用 于 系统 灾难 恢复 。 

以 上 就 是 系统 预定 义 的 安全 模板 ， 用 户 可 以 使 用 其 中 一 种 安全 模板 ， 也 可 以 创建 自己 
需要 的 新 安全 模板 。 


之 


6.7.2 ”安全 配置 和 分 析 


1. 设置 账户 策略 


账户 策略 之 中 包括 密码 策略 、 账 户 锁定 策略 和 Kerberos 策略 的 安全 设置 ， 密 码 策略 为 
密码 复杂 程度 和 密码 规则 的 修改 提供 了 一 种 标准 的 手段 ， 以 便 满 足 高 安全 性 环境 中 对 密码 
的 要 求 。 账 户 锁定 策略 可 以 跟踪 失败 的 登录 尝试 , 并 且 在 必要 时 可 以 锁定 相应 账户 .Kerberos 
策略 用 于 域 用 户 的 账户 ， 它 们 决定 了 与 Kerberos 相关 的 设置 ， 诸 如 票据 的 期 限 和 强制 实施 。 

选择 【开始 】 一 【运行 】 命 令 ， 弹 出 【运行 】 对 话 框 ， 输 入 gpeditmsc， 单 击 【确定 】 
按钮 ， 进 入 组 策略 编辑 器 。 选 择 【 计 算 机 配置 ]】 \【Windows 配置 】\【 安 全 设置 】 \【 账 户 策 
略 】\ 【密码 策略 】 选 项 ， 在 这 里 可 以 配置 6 种 与 密码 特征 相关 的 设置 ， 分 别 是 【用 可 还 原 
的 加 密 来 储存 密码 】、 【强制 密码 历史 】、【 密 码 最 长 使 用 期 限 】、 【密码 最 短 使 用 期 限 】、 
【密码 长 度 最 小 值 】 和 【密码 必须 符合 复杂 性 要 求 】， 如 图 6.52 所 示 。 
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图 6.52 设置 账户 策略 


(1) 强制 密码 历史 : 确定 互 不 相同 的 新 密码 的 个 数 ， 在 重新 使 用 旧 密 码 之 前 ， 用 户 必 
使 用 过 这 么 多 的 密码 ， 此 设置 值 可 介 于 0 一 24 之 间 。 

(2) 密码 最 长 使 用 期 限 : 确定 在 要 求 用 户 更 改 密码 之 前 用 户 可 以 使 用 该 密码 的 天 数 。 
其 值 介 于 0 和 999 之 间 ， 如 果 该 值 设置 为 0， 则 密码 永 不 过 期 。 
(3) 密码 最 短 使 用 期 限 : 确定 用 户 可 以 更 改 新 密码 之 前 这 些 新 密码 必须 保留 的 天 数 。 
设置 被 设计 为 与 “强制 密码 历史 ”设置 一 起 使 用 ， 这 样 用 户 就 不 能 很 快 地 重 置 有 次 数 要 
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求 的 密码 并 更 改 回 旧 密 码 。 该 设置 值 介 于 0 一 999 之 间 ， 如 果 设 置 为 0， 用 户 可 以 立即 更 改 
新 密码 。 建 议 将 该 值 设 为 2 天 。 

(4) 密码 长 度 最 小 值 : 确定 密码 最 少 可 以 有 多 少 个 字符 。 该 设置 值 为 0 一 14 个 字符 ， 
如 果 设 置 为 0， 则 允许 用 户 使 用 空白 密码 。 建 议 将 该 值 设 置 为 8 个 字符 。 

(5) 密码 必须 符合 复杂 性 要 求 : 该 项 启用 后 ， 将 对 所 有 新 密码 进行 检查 ， 确 保 它 们 满 
足 复杂 密码 的 基本 要 求 。 如 果 启 用 该 设置 ， 则 用 户 密码 必须 符合 特定 要 求 ， 如 至 少 有 6 个 
字符 、 密 码 不 得 包含 3 个 或 3 个 以 上 来 自用 户 账户 名 中 的 字符 等 。 


2. 账户 锁定 策略 


选择 【开始 】 一 【运行 】 命 令 ， 弹 出 【运行 】 对 话 框 输入 gpeditmsc， 单 击 【确定 】 按 
钮 ， 进 入 组 策略 编辑 器 。 选 择 【 计 算 机 配置 ] \【Windows 配置 ]】 \【 安 全 设置 】 \【 账 户 策 
略 】\【 账 户 锁定 策略 】 选 项 ， 如 图 6.53 所 示 ， 在 这 里 可 以 设置 账户 锁定 阐 值 和 账户 锁定 
时 间 。 

(1) 账户 锁定 时 间 。 这 里 的 设置 决定 了 一 个 账户 在 解除 锁定 并 允许 用 户 重新 登录 之 前 
所 必须 经 过 的 时 间 ， 即 被 锁定 的 用 户 不 能 进行 登录 操作 的 时 间 ， 该 时 间 的 单位 为 分 钟 ， 妇 
果 将 时 间 设 置 为 0， 将 会 永远 锁定 该 账户 ， 直 到 管理 员 解 除 该 账户 的 锁定 。 

(2) 账户 锁定 阔 值 。 确 定 尝试 登录 失败 多 少 次 后 锁定 用 户 账户 。 除 非 管理 员 进行 了 重 
新 设置 或 该 账户 的 锁定 期 已 满 ， 才 能 重新 使 用 账户 。 尝 试 登录 失败 的 次 数 可 设置 为 1 一 999 
之 间 的 值 ， 如 果 设 置 为 0， 则 始终 不 锁定 该 账户 。 
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图 6.53 ”账户 锁定 策略 
3. 设置 本 地 策略 


选择 【开始 】 一 【运行 】 命 令 ， 弹 出 【运行 】 对 话 框 ， 输 入 gpeditmsc， 单 击 【确定 】 
按钮 ， 进 入 组 策略 编辑 器 。 选 择 【计算 机 配置 】 \【Windows 配置 】\【 安 全 设置 】 \【 本 地 
策略 】 选 项 ， 如 图 6.54 所 示 ， 在 这 里 可 以 进行 审核 策略 、 用 户 权 限 指派 和 安全 选项 三 项 
安全 设置 。 

(1) 审核 策略 : 审核 被 启用 后 ， 系 统 就 会 在 审核 日 志 中 收集 审核 对 象 所 发 生 的 一 切 事 
件 ， 如 应 用 程序 、 系 统 以 及 安全 的 相关 信息 ， 因 此 审核 对 于 保证 域 的 安全 是 非常 重要 的 。 
审核 策略 下 的 各 项 值 可 分 为 成 功 、 失 败 和 不 审核 三 种 ， 默 认 是 不 审核 ， 若 要 启用 审核 ， 可 
在 某 项 上 双击 进行 设置 。 
审核 策略 包括 审核 账户 登录 事件 、 审 核 策略 更 改 、 审 核 账 户 管理 、 审 核 登录 事件 、 审 
核 系统 事件 等 ， 这 里 不 再 一 一 更 述 。 
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图 6.54 设置 本 地 策略 


(2) 用 户 权利 指派 : 用 户 权利 指派 主要 是 确定 哪些 用 户 或 组 被 允许 做 哪些 事情 。 

@ 首先 选中 【用 户 权 利 指派 】 选 项 ， 在 列表 中 找到 并 双击 【从 网 络 访问 此 计算 机 】 
选项 。 

@ 在 打开 的 【网 络 访问 计算 机 属性 】 对 话 框 中 单 击 【 添 加 用 户 或 组 】 按 钮 。 

@ 然后 单 击 【 高 级 】 按 钮 ， 在 打开 的 【输入 网 络 密码 】 对 话 框 中 输入 有 权限 查找 AD 
域 的 用 户 名 和 密码 ， 单 击 【确定 】 按 钮 。 

@ 通过 用 户 身份 认证 后 返回 【选择 用 户 或 组 】 对 话 框 ， 单 击 【立即 查找 】， 在 用 户 
列表 中 选中 准备 添加 的 用 户 ， 单 击 【确定 】 按 钮 ， 返 回 【从 网 络 访问 此 计算 机 】 对 话 框 ， 
可 以 看 到 成 功 添加 的 用 户 或 组 ， 单 击 【 确 定 】 按 钮 。 

@ 在 打开 的 【确认 设置 修改 】 对 话 框 中 ， 提 示 用 户 即将 本 地 设备 更 改 为 可 能 影响 了 
客户 端 、 服 务 器 和 应 用 程序 的 兼容 性 的 值 ， 单 击 【 是 】 按 钮 即 可 。 

(3) 安全 选项 : 在 这 里 可 以 启用 或 禁用 计算 机 的 安全 设置 ， 如 数据 的 数字 签名 、 
Administrator 和 Guest 账户 的 名 称 、 软 盘 驱 动 器 和 CD-ROM 驱动 器 访问 、 驱 动 程序 安装 行 
为 、 登 录 提示 等 。 

按照 上 述 类 似 的 方式 , 用 户 可 设置 高 级 安全 Windows 防火 墙 、 网 络 列表 管理 器 、IP 等 。 


6.7.3 ”安全 模板 的 使 用 


新 的 安全 模板 经 过 配置 后 ， 就 可 以 应 用 了 ， 用 户 必须 通过 使 用 【安全 配置 和 分 析 】 管 
理 单元 来 应 用 安全 模板 设置 。 
(1) 首先 添加 【安全 配置 和 分 析 】 管 理 单元 ， 打 开 MMC 任务 控制 中 心 控制 台 的 【 文 
件 】 菜 单 ， 选 择 【 添 加 /删除 管理 单元 】 选 项 ， 在 【添加 独立 管理 单元 】 列 表 中 选择 【安全 
配置 和 分 析 】 选 项 ， 并 单 击 【添加 】 按 钮 ， 这 样 【 安 全 配置 和 分 析 】 管 理 单元 就 被 添加 到 
MMC 控制 台中 了 。 
(2) 在 控制 台 的 【安全 配置 和 分 析 】 选 项 上 右 击 ， 选 择 【 打 开 数 据 库 】 选 项 ， 在 弹出 
的 窗口 中 输入 新 数据 库 名 后 单 击 【 打 开 】 按 钮 。 


(3) 在 安全 模板 列表 窗 
安全 模板 就 被 成 功 导入 了 。 
(4) 在 控制 台中 的 【安全 配置 和 分 析 】 选 项 上 右 击 ， 然 后 在 快捷 菜单 


置 计算 机 】 选 项 ， 就 会 弹出 确认 错误 日 志文 件 路 径 窗口 
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被 导入 的 安全 模板 就 被 成 功 应 用 了 。 


全 6.8 回 到 工作 场景 


中 选择 要 导入 的 安全 模板 ， 然 后 间 


， 单 


后 【 确 定 】 按 钮 。 这 村 


ff 击 【打开 】 按 钮 ， 这 样 该 


hb 选择 【立即 配 


#， 刚 才 


1. 在 局 域 网 内 限制 使 用 迅雷 进行 恶意 下 载 


上 文 已 经 介绍 了 类 似 的 限制 恶意 下 载 的 设置 方法 ， 这 里 编者 还 想 补 充 介 绍 一 下 ， 以 加 
深 大 家 的 印象 ， 熟 练 操 作 设置 过 程 。 
首先 ， 以 系统 管理 员 权 限 进入 Windows Server 2008 系统 桌面 ， 选 择 【 开 始 】 一 【运行 】 
命令 ,输入 gpedit.msc， 单 击 【 确 定 】 按 钮 ， 进 入 组 策略 编辑 器 。 依 次 单 击 【 计 算 机 配置 】\ 


【Windows 配置 】\【 安 全 设置 】 一 【软件 限制 策略 】， 同 时 右 击 该 选项 ， 并 执行 快捷 菜单 


中 的 【创建 软件 限制 


策略】 命令 。 


然后 在 【软件 限制 策略 】 选 项 的 右 侧 显 示 区 域 双击 【强制 】 组 策略 项 目 ， 打 开 如 图 6.55 


所 示 的 对 话 框 ， 选 中 【 除 本 地 管理 


EI 
党 规 | 


应 用 软件 限制 第 略 到 下 列 文 件 : 
人 除去 库 文件 如 号 1) 之 外 的 所 有 软件 文件 G) 


| 


图 6.55 软件 限制 策略 
接着 单 击 【 下 一 步 】 按 钮 ， 在 其 后 出 现 的 向 导 设置 对 话 框 中 选中 TCP 单 选 按钮 ， 并 且 


选中 【特定 本 地 端 


框 中 直接 输入 “3078” 端 口号 码 ， 如 图 6.56 所 示 。 


E 员 意外 的 所 有 用 户 】 选 项 ， 其 余 选 项 保持 默认 设置 。 


】 单 选 按 钮 ， 此 时 【特定 本 地 端口 】 文 本 框 会 被 自动 激活 ， 在 该 文本 


单 击 【 下 一 步 】 按 钮 后 ， 向 导 屏 幕 会 弹出 提示 询问 “连接 符合 指定 条 件 时 应 该 进行 


什么 操作 ”， 这 时 我 们 必须 选中 【阻止 连接 功能 选项 】 单 选 按钮 ， 之 后 设置 好 该 安全 规则 


有 具体 的 应 用 范围 ， 古 


E 这 里 用 户 可 以 同时 选中 【 域 】、 


【 专 上 


环境 ， 


9】、【 公 上 


有 】 这 三 种 应 
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最 后 为 新 创建 的 出 站 规则 设置 一 个 合适 的 名 称 ， 再 单 击 【 完 成 】 按 钮 ， 结 束 安 全 出 站 规则 
汐 创 建 工作 。 这 样 的 话 任何 一 位 上 网 用 户 在 本 地 Windows Server 2008 系统 中 尝试 使 用 迅雷 
进行 恶意 下 载 时 ，Windows Server 2008 系统 自 带 的 高 级 安全 防火 墙 功 能 就 会 自动 对 这 样 的 
恶意 下 载 进行 拦截 ， 那 么 本 地 网 络 的 运行 稳定 性 自然 也 就 能 得 到 有 效 保证 了 。 


al EE 


图 6.56 限制 使 用 迅雷 进行 恶意 下 载 
2. 限制 他 人 在 本 人 计算 机 上 使 用 迅雷 恶意 下 载 


在 多 人 共同 使 用 相同 的 一 台 计 算 机 进行 工作 时 ， 我 们 肯定 不 希望 普通 用 户 随意 使 用 迅 
雷 工 具 进 行 恶 意 下 载 ， 这 样 不 但 容易 浪费 本 地 系统 的 磁盘 空间 资源 ， 而 且 也 会 大 大 消耗 本 
地 系统 的 上 网 带宽 资源 。 而 在 Windows Server 2008 系统 环境 下 ， 我 们 可 以 巧妙 地 利用 该 系 
统 的 软件 限制 策略 来 达到 这 一 目的 ， 下 面 就 是 该 方法 的 具体 实现 步骤 。 

(1) 以 系统 管理 员 权 限 登 录 进 入 Windows Server 2008 系统 ， 选 择 【 开 始 】 一 【运行 】 
命令 ， 在 弹出 的 【运行 】 对 话 框 中 输入 gpedit.msc 命令 ， 进 入 对 应 系统 的 组 策略 控制 台 
窗口 。 

(2) 在 该 控制 台 窗 口 的 左 侧 选择 【计算 机 配置 】\【Windows 设置 】\【 安 全 设置 】\【 软 
件 限制 策略 】 选 项 ， 同 时 用 右 击 【软件 限制 策略 】 选 项 ， 并 选择 快捷 菜单 中 的 【创建 软件 
限制 策略 】 选 项 ， 如 图 6.57 所 示 。 
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(3) 在 对 应 【软件 限制 策略 】 选 项 的 右 侧 显示 区 域 ,双击 【强制 】 选 项 ， 打 开 如 图 6.58 
所 示 的 设置 对 话 框 ， 选 中 其 中 的 【 除 本 地 管理 员 以 外 的 所 有 用 户 】 单 选 按钮 ， 其 余 参 数 都 
保持 默认 设置 ， 再 单 击 【 确 定 】 按 钮 结束 上 述 设置 操作 。 

(4) 【软件 限制 策略 】 一 【其 他 规则 】 选 项 ， 再 用 右 击 该 组 策略 选项 ， 从 弹出 的 快捷 
菜单 中 选择 【新 建 路 径 规则 】 选 项 ， 在 其 后 出 现 的 设置 对 话 框 中 ， 单 击 【 浏 览 】 按 钮 选中 
迅雷 下 载 程序 ， 同 时 将 对 应 该 应 用 程序 的 【安全 级 别 】 参 数 设置 为 【不 允许 的 】， 然 后 单 


击 【 确 定 】 按 钮 执行 参数 设置 保存 操作 ， 如 图 6.59 所 示 。 
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个 执行 证 书 规则 on 可 
人 和 证 书 规则 吕 ) | 加 
全 注 : 证 书 规 风 会 对 计算 机 的 性 能 产生 负面 8。 
了 解 关于 钦 件 限 他 本 的 更 多 信息 
We |[L 参 ] smwu| 一 | 应 WW | 
6.58 设置 软件 限制 策略 6.59 设置 安全 级 别 


(5) 重启 一 下 Windows Server 2008 系统 ， 当 用 户 以 普通 权限 账号 登录 进入 该 系统 后 ， 
普通 用 户 就 不 能 正常 使 用 迅雷 程序 进行 恶意 下 载 了 ， 不 过 用 户 以 系统 管理 员 权限 进入 本 地 
计算 机 系统 时 ， 仍 然 可 以 正常 运行 迅雷 程序 进行 随意 下 载 。 

3. 禁止 普通 用 户 随意 上 网 访问 


通常 Windows Server 2008 系统 都 被 安装 到 重要 的 计算 机 中 ， 为 了 防止 该 计算 机 系统 受 
到 安全 威胁 ， 我 们 往往 需要 想 办 法 限制 普通 用 户 在 该 系统 中 随意 上 网 访问 。 但 是 如 果 简 单 
关闭 该 系统 的 上 网 访问 权限 ， 又 会 影响 特权 用 户 正常 上 网 ， 那 么 如 何 才能 限制 普通 用 户 上 
,而 又 不 影响 特权 用 户 进行 上 网 访问 呢 ? 其 实 很 简单 , 用 户 按照 下 面 的 操作 修改 Windows 
Server 2008 系统 的 组 策略 参数 即 可 。 
(1) 以 普通 权限 的 账号 登录 Windows Server 2008 系统 , 打开 对 应 系统 中 的 正 浏览 器 窗 

， 选 择 【 工 具 】 一 【Internet 选项 】 命 令 ， 弹 出 【Internet 选项 】 窗 口 ， 如 图 6.60 所 示 。 
(2) 选择 【连接 】 选 项 卡 ， 单 击 【局 域 网 设置 】 按 钮 ， 在 弹出 的 【局 域 网 LAN) 设 置 】 
对 话 框 中 选中 【为 LAN 使 用 代理 服务 器 】 单 选 按钮 ， 任 意 输入 一 个 代理 服务 器 的 主机 地 址 
以 及 端口 号 码 ， 再 单 击 【确定 】 按 钮 执行 参数 设置 保存 操作 ， 如 图 6.61 所 示 。 
(3) 注销 Windows Server 2008 系统 ， 更 换 具 有 特殊 权限 的 用 户 账号 重新 登录 进入 
Windows Server 2008 系统 ， 选 择 【 开 始 】 一 【运行 】 命 令 ， 在 其 后 出 现 的 【运行 】 对 话 框 中 
输入 gpedit.msc， 单 击 【 确 定 】 按 钮 后 ， 进 入 对 应 系统 的 组 策略 控制 台 窗 口 ， 如 图 6.62 所 示 。 


计算 机 网 络 安全 技术 加 


a 
常 机 | 安全 | 隐私 | 内 容 | 连接 | 程序 | 高 级 | 


本 i A GD)。 
到 ea 


tup. dll/Har dAdni 


副 
smn ee ee) wnsno,| 到 
文件 、 历 史记 录 、Coukis、 保 让 的 记 码 和 页 自动 村 
网 秽 于 浸 、e 有 全 届 关 手 设 和 。 要 确保 人 用 手 动 设置， 请 用 自动 
负 除 0) 设置 6) » 
二 re 厂 自动 出 设置 
万 see 厂 使 用 自动 配置 本 G) 
屯 引 8) 
a 代理 服务 器 
”| 更改 网 页 在 选项 卡 中 显示 的 方式 。 设置 0) 
匡 一 2 | 厅 六 下 信介 8 各 这 此 设 轩 不全 应用 于 所 号 或 vey 
多 
go 语言 @) 地 址 E): 端口 7): |80 高 级 CC) 
一 到” | mo | a | ee | 厂 跌 过 本 地 地 址 的 代理 服务 器 
Bwana 取消 
图 6.60 【Internet 选项 卡 】 对 话 框 图 6.61 局 域 网 设置 


田 国 Windows 设置 
本 管理 模板 


\ 扩 展 人 丢 礁 7 


| 
图 6.62 组 策略 编辑 器 窗口 


(4) 选择 该 控制 台 【 计 算 机 配置 [管理 模板 六 [Windows 设置 入 Intemet Explorer\【Internet 
控制 面板 】 选 项 ， 再 用 鼠标 双击 下 面 的 【禁用 连接 页 】 选 项 ， 此 时 系统 屏幕 上 会 弹出 如 图 
6.63 所 示 的 对 话 框 ， 选 中 【已 启用 】 单 选 按 钮 ， 再 单 击 【确定 】 按 钮 执行 设置 保存 操作 。 
这 样 ， 普 通 权限 的 用 户 日 后 在 Windows Server 2008 系统 中 尝试 访问 网 络 时 ，IE 浏览 器 
会 自动 连接 一 个 失效 的 代理 服务 器 ， 那 么 下 浏览 器 自然 也 就 不 能 正常 显示 网 页 内 容 了 ; 而 
具有 特殊 权限 的 用 户 在 Windows Server 2008 系统 中 尝试 进行 网 络 访问 时 , IE 浏览 器 会 直接 
显示 出 目标 站 点 的 内 容 ， 不 需要 通过 代理 服务 器 进行 中 转 。 
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设置 | | 
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三 未 本 置 C) 
他 已 让 用) 
人 已 禁用 O) 


支持 于 至 少 Internet Explorer 5.0 


上 一 个 设置 们 ) 下 一 个 设置 人 


CE ] ms |_ gmw | 


图 6.63 设置 禁用 链接 页 


“人 69 工作 实 训 营 


6.9.1 训练 实例 


1. 拒绝 网 络 病毒 藏 于 临时 文件 


现在 Internet 网 络 上 的 病毒 肆虐 , 一 些 “ 狭 独 ” 的 网 络 病毒 为 了 躲避 杀毒 软件 的 “ 追 杀 ”， 
往往 会 想方设法 地 将 自己 隐藏 于 系统 临时 文件 夹 ， 这 样 一 来 杀毒 软件 即使 找到 了 网 络 病毒 ， 
也 对 它 无 可 奈何 ， 因 为 杀毒 软件 对 系统 临时 文件 夹 根本 无 权 “ 指 手 画 脚 ”。 为 了 防止 网 络 
病毒 隐藏 在 系统 临时 文件 夹 中 ， 我 们 可 以 按照 下 面 的 操作 设置 Windows Server 2008 系统 的 
软件 限制 策略 。 

(1) 选择 【开始 】 一 【运行 】 命 令 ， 在 弹出 的 【运行 】 对 话 框 中 输入 组 策略 编辑 命令 
gpedit.msc， 单 击 【 确 定 】 按 钮 后 ， 进 入 对 应 系统 的 组 策略 控制 台 窗 

(2) 在 该 控制 台 窗 口 的 左 侧 选择 【计算 机 配置 】\【Windows 设置 ] \【 安 全 设置 】\【 软 
件 限 制 策 略 ] \【 其 他 规则 】 选 项 ， 同 时 右 击 该 选项 ， 并 选择 快捷 菜单 中 的 【新 建 路 径 规 则 】 
选项 ， 如 图 6.64 所 示 。 

(3) 在 打开 的 如 图 6.65 所 示 的 设置 对 话 框 中 单 击 【 浏 览 】 按 钮 ， 从 弹出 的 文件 选择 对 
话 框 中 ， 选 中 并 导入 Windows Server 2008 系统 的 临时 文件 夹 ， 同 时 再 将 【安全 级 别 】 参 数 
设置 为 【不 允许 】， 最 后 单 击 【 确 定 】 按 钮 保存 好 上 述 设置 操作 。 这 样 一 来 网 络 病毒 就 不 
能 “ 藏 ”在 系统 的 临时 文件 夹 中 了 。 


2. 断 开 远程 连接 恢复 系统 状态 


很 多 时 候 , 一 些 不 怀 好 意 的 用 户 往往 会 同时 建立 多 个 远程 连接 , 来 消耗 Windows Server 
2008 服务 器 系统 的 宝贵 资源 , 最 终 达 到 搞 垮 服务 器 系统 的 目的 。 因 此 , 在 实际 管理 Windows 
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Server 2008 服务 器 系统 的 过 程 中 ， 一 旦 用 户 发 现 服务 器 运行 不 正常 时 ， 除 了 进行 前 文 所 叙 
述 的 一 些 安全 设置 外 ， 还 可 以 按照 下 面 的 办 法 强行 断 开 所 有 与 Windows Server 2008 服务 器 
系统 建立 连接 的 各 个 远程 连接 ， 以 便 及 时 将 服务 器 系统 的 工作 状态 恢复 正常 。 


文件 PF) 操作) 查看 W) 帮助 00 
大 四 | 廊下 | 各 | GBB 司 


把 | XHKEY_LDCAL, MACHINE\SOPTWARE\Mi cro. 
大 | XHKEY_LDCAL, MACHINE\SOFTWARE\Mi ero, 


田 国 高 和 安全 Windors 
风 络 列表 管理 嘴角 


6.64 ”新 建 路 径 规 则 


浙 寻 路径 规则 和 xl 
常规 | 


和 | RiftaHA 安 全。 


路 公信) 

F:namsesoy 

安全 级别 G) 

Frm 司 

据 术 9); 
到 
加 

了 解 关于 次 件 限 伸 遂 号 的 更 多 信息 

确定 取消 应 用 以) 


图 6.65 设置 安全 级 别 


(1) 选择 【开始 】 一 【运行 】 命 令 ， 在 弹出 的 【运行 】 对 话 框 中 ， 输 入 组 策略 编辑 命 
令 gpeditmsc， 单 击 【 确 定 】 按 钮 后 ， 进 入 对 应 系统 的 组 策略 控制 台 窗 口 。 

(2) 在 组 策略 控制 台 窗口 左 侧 选择 【用 户 配 置 】\【 管 理 模板 】\【 网 络 】\【 网 络 连接 】 
组 策略 选项 ， 之 后 双击 【网 络 连接 】 界 面 中 的 【删除 所 有 用 户 远程 访问 连接 】 选 项 ， 如 
图 6.66 所 示 。 

(3) 在 弹出 的 如 图 6.67 所 示 的 选项 设置 对 话 框 中 ， 选 中 【已 启用 】 单 选 按钮 ， 再 单 和 
【确定 】 按 钮 保存 上 述 设置 。 

这 样 一 来 Windows Server 2008 服务 器 系统 中 的 各 个 远程 连接 都 会 被 自动 断 开 ， 此 时 ， 
对 应 系统 的 工作 状态 可 能 会 立即 恢复 正常 。 


Hh 
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区 人 年 | | 出 除 所 有 用 户 远 程 访问 连接 


] 管理 模板 
日 记 用 户 本 时 Bt 用人 
要 求 


] 软件 设置 
国 Yindows 设置 促 旺 ceroseft Windows Server 


习 管 f 2003、 Windows XP 和 Windows 
上 菜单 : | | 2000 操作 系统 
习 Windows 组 件 指 述 
确定 用 户 是 否 可 以 删除 所 有 用 户 远 
程 访问 宇 接 。 
要 创建 所 有 用 户 远程 访问 连接 ,请 
在 “新 建 连 接 向 号 ”中 的 “可 用 连 禁止 访问 LAN 连接 的 属性 
接 ” 页 上 单 击 “ 所 有 用 户 ”选项 。 禁止 访问 “新 建 广 拉 向 导 ” 


习 十 叱 所 有 用 户 诡 程 访 i 车 榜 的 车 | 
四 户 名 | | 


图 6.66 用 户 远程 访问 连接 
下 到 


设置 |i 明 | 
加 出 j 所 有 用 户 远程 访问 连接 


半生 一 
刁 禁止 添加 或 出 除 用 于 LAN 连接 或 

禁止 到 “高 级 ”菜单 上 的 “高 级 i 

用 TCP/IP 高 级 配置 

禁止 启用 /禁用 LAN 连接 的 组 件 


连接 受 限制 或 无 连接 时 关闭 通知 
禁止 访问 LAN 连接 组 件 的 属性 
启用 /禁用 LAN 连接 的 能 力 


个 未 配置 C) 
他 已 启用 到) 
个 已 禁用 O) 


支持 于 : 仅 旺 eroseft Windows Server 2003、YWindows 
上 一 个 设置 中) 下 一 个 设置 0 


图 6.67 设置 用 户 远程 访问 连接 属性 


6.9.2 ”工作 实践 常见 问题 解析 


如 何 取消 关机 时 出 现 的 关机 理由 选择 项 ? 

依次 选择 【计算 机 配置 】\【 管 理 模板 】\ 【系统 】\【 关 机 选项 】 选 项 ， 进 入 【关闭 会 阻 
止 或 取消 关机 的 应 用 程序 的 自动 终止 功能 属性 】 对 话 框 ， 选 中 【已 启用 】 单 选 按钮 。 如 图 
6.68 所 示 。 
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ETECTET EE TT JX 
设置 | | 
加 关闭 会 阴 上 或 了 清关 机 的 应 用 程序 的 自动 终止 功能 


支持 于 : 至 少 Windows Vista 


EE Ta 


取消 应 用 WW) 
图 6.68 取消 关机 理由 选项 


多 | 未 章 习题 


一 、 选择 题 
1. 如 果 只 给 用 户 分 配 配置 网 络 了 设置 的 权限 ， 应 该 将 其 加 入 ( ) 组 。 
A. Administrators B. Power users 
C. Users D. Network configuration opetators 


E Remote desktop users 

2. 假如 你 是 一 台 Windows Server 2008 计算 机 的 系统 管理 员 , 在 计算 机 管理 控制 台 下 看 
到 这 台 计 算 机 上 有 几 个 管理 型 共享 ， 在 这 些 管理 型 共享 中 ( 。”) 代 表 系 统 目 录 。 
A.SYSVOL B. Drive letter$ 
C.IPC9$ D. ADMINS 

3. 假如 你 是 一 台 Windows Server 2008 计算 机 的 系统 管理 员 , 若 要 在 这 台 计 算 机 上 安装 
活动 目录 ， 你 需要 运行 ( 。“) 命 令 . 
A. installad B. adinstall C. dcpromo D. promodc 

二 、 思 考题 


1. Windows Server 2008 注册 表 的 优化 方式 有 哪些 ? 
2. 使 用 Windows Server 2008 高 级 安全 Windows 防火 墙 阻止 恶意 迅雷 下 载 应 该 如 何 
设置 ? 


等 本章 要 点 


在 本 章 中 我 们 主要 学 习 Web 的 安全 性 ， 要 点 如 下 。 


夺 技能 目标 


Web 的 安全 性 概述 。 
Web 服务 器 的 安全 性 。 
脚本 语言 的 安全 性 。 
Web 浏览 器 的 安全 性 。 


”一 一 一 一 一 


通过 Web 服务 器 的 安全 设置 ， 构 造 一 : 
系统 。 

学 会 检测 浏览 器 的 安全 漏洞 ， 并 通过 设置 ， 
器 动 持 问题 。 


计算 机 网 络 安全 技术 国 


号 ，7.1 工作 场景 导入 


相信 大 家 在 使 用 浏览 器 时 都 会 遇 到 如 下 问题 : 在 浏览 网 页 时 ， 单 击 想 要 浏览 的 网 页 链 
接 ， 系 统 突然 弹出 一 个 或 多 个 莫名 其 妙 的 网 页 ， 而 且 大 多 是 游戏 网 页 和 不 健康 的 网 页 ， 当 
你 去 关闭 该 网 页 时 ， 会 弹出 一 个 窗口 ， 提 示 “Microsoft Internet Explorer 遇 到 问题 需要 关 
闭 …… ”， 若 单 击 “发 送 错 误 报 告 ”按钮 则 会 导致 当前 的 下 窗口 关闭 ， 如 单 击 【 不 发 送 】 
按钮 则 关闭 了 所 有 的 IE 窗口 ， 或 者 只 能 打开 网 站 的 首页 ， 单 击 其 中 的 任何 链接 时 都 无 法 打 
开 , 即使 执行 右键 菜单 中 的 【在 新 的 窗口 中 打开 了】 命令 也 不 行 . 这 便 是 “浏览 器 动 持 (Browser 
Hijack)” 一 一 故意 误导 浏览 器 行进 路 线 。 

浏览 器 动 持 是 指控 制 网 页 浏览 器 (IE 等 ) 的 一 种 恶意 程序 ， 通 过 浏览 器 插件 、BHO( 浏 览 
器 辅助 对 象 )、WinsockLSP 等 形式 对 用 户 的 浏览 器 进行 自 改 ， 使 用 户 的 浏览 器 配置 不 正常 ， 
被 强行 引导 到 商业 网 站 。 常 见 现象 为 主页 及 互联 网 搜索 页 变 为 不 知名 的 网 站 、 经 常 莫名 地 
弹出 广告 网 页 输入 正常 网 站 地 址 却 连接 到 其 他 网 站 。 收藏 天 内 被 自动 添加 陌生 网 站 地 址 等 。 
据 相 关 安 全 专家 统计 ，80% 的 计算 机 中 毒 都 来 源 于 用 户 对 网 页 陷阱 的 浏览 ， 由 此 可 见 网 页 攻 
击 已 成 为 黑客 入 侵 的 主要 手段 之 一 。 而 这 种 攻击 一 旦 得 手 ， 用 户 计算 机 就 会 出 现 系统 运行 
速度 变 慢 、 强 制 访问 某 个 网 站 ， 默 认 浏 览 首 页 被 改 ， 以 及 浏览 器 标题 被 改 的 异常 情况 . 近 
年 来 ， 针 对 浏览 器 的 攻击 手段 层出不穷 ， 对 浏览 器 的 渗透 攻击 逐渐 成 为 入 侵 者 攻破 用 户 层 
层 防 御 的 首要 目标 。 

引导 问题 : 如 何 检测 我 们 的 IE 是 否 已 被 感染 ， 若 被 感染 ， 应 如 何 解决 问题 ? 


多 7.2 Web 的 安全 性 概述 


7.2.1 Internet 的 脆弱 性 


众所周知 ， 计 算 机 网 络 是 没有 边界 的 ， 而 且 已 经 渗透 到 人 们 生活 的 每 个 角落 。 但 是 ， 
目前 基于 计算 机 网 络 的 法 律 和 法 规 还 不 完善 ， 人 们 在 计算 机 网 络 上 所 进行 的 行为 几乎 都 是 
不 受 限 制 的 ， 这 导致 利用 计算 机 网 络 进行 的 安全 攻击 越 来 越 多 。 传 统 上 ， 安 全 性 一 直 被 认 
为 是 网 络 问题 ， 在 这 种 情况 下 主要 的 防护 措施 是 防火 墙 或 者 系统 管理 员 通 过 锁定 主机 来 处 
理 安全 问题 。 随 着 Internet 的 发 展 ，Web 站 点 已 成 为 提供 网 上 服务 的 重要 形式 ， 成 为 一 种 极 
有 价值 的 资源 ， 因 而 对 网 络 的 攻击 已 经 深入 到 对 Web 的 攻击 。 影 响 Web 安全 性 的 因素 主 
有 以 下 几 个 方面 。 

(D 由 于 Web 服务 器 存在 的 安全 漏洞 和 复杂 性 ， 使 得 依赖 这 些 服务 器 的 系统 经 常 面临 
一 些 无 法 预测 的 风险 。 

(2) Web 程序 员 由 于 工作 的 失误 或 者 程序 设计 上 的 漏洞 ， 也 可 能 造成 Web 系统 的 安全 
缺陷 。 

(3) 用 户 通过 浏览 器 和 Web 站 点 交互 时 ， 由 于 浏览 器 本 身 的 安全 漏洞 ， 使 得 非法 用 户 
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可 以 同时 对 多 个 浏览 器 进行 Web 站 点 攻击 。 
Internet 是 全 球 最 大 的 互联 网 ， 其 本 身 是 没有 边界 和 国界 的 。 目 前 ， 在 Internet 上 还 没 
有 很 完善 的 法 律 、 法 规 ， 这 导致 了 在 其 上 有 很 多 的 安全 隐患 ， 主 要 体现 在 以 下 几 个 方面 。 
(D Internet 是 一 个 很 开放 、 无 控制 机 构 的 网 络 ， 黑 客 经 常会 侵入 到 网 络 中 的 计算 机 系 
统 ， 或 窃取 机 密 数 据 和 盗用 特权 ， 或 破坏 重要 数据 ， 或 使 系统 功能 得 不 到 充分 发 挥 直至 
瘫痪 


(2) Internet 的 数据 传输 是 基于 TCP/IP 通信 协议 进行 的 , 这 些 协议 缺乏 使 传输 过 程 中 的 
信息 不 被 窃取 的 安全 措施 。 
(3) Internet 上 的 通信 业务 多 数 使 用 UNIX 操作 系统 来 支持 ，UNIX 操作 中 明显 存在 的 
安全 脆弱 性 问题 会 直接 影响 安全 服务 。 
(4) 在 计算 机 上 存储 、 传 输 和 处 理 电子 信息 ， 还 没有 像 传统 的 邮件 通信 那样 进行 信封 
保护 和 签字 盖 章 。 信 息 的 来 源 和 去 向 的 真实 性 ， 内 容 不 被 任意 改动 ， 以 及 不 被 泄露 ， 在 应 
用 层 支 持 的 服务 协议 只 能 凭借 君子 协定 来 保证 。 
电子 邮件 存在 着 被 删 、 误 投 和 伪造 的 可 能 性 ， 隐 藏 使 用 电子 邮件 传输 重要 的 机 密 信 息 
存在 着 很 大 的 危险 。 
(5) 计算 机 病毒 通过 Internet 传播 ， 给 用 户 带 来 极 大 的 危害 ， 病 毒 可 以 造成 计算 机 和 计 
算 机 网 络 系统 瘫痪、 数据 和 文件 丢失 。 然 而 ， 在 网 络 上 传播 病毒 可 以 通过 公共 匿名 FTP 文 
件 传送 ， 也 可 以 通过 邮件 和 邮件 的 附加 文件 传播 ， 这 又 给 安全 防范 带 来 困难 。 
Internet 的 这 些 隐 患 导致 了 Internet 的 脆弱 性 , 因此 如 果 不 采 取 必 要 的 安全 措施 , Internet 
将 很 容易 被 攻击 。 


7.2.2 ”Web 的 安全 问题 


在 Web 技术 飞速 演变 、 电 子 商 务 鞍 勃 发 展 的 今天 ， 企 业 开 发 的 很 多 新 应 用 程序 都 是 
Web 应 用 程序 ， 而 且 Web 服务 也 被 越 来 越 频繁 地 用 于 集成 Web 应 用 程序 或 与 其 进行 交互 ， 
这 些 趋势 带 来 的 问题 就 是 : Web 应 用 程序 和 服务 的 增长 已 超越 了 程序 开发 人 员 所 接受 的 安 
全 培训 和 安全 意识 的 范围 。Web 应 用 系统 的 安全 风险 达到 了 前 所 未 有 的 高 度 。 

Web 应 用 系统 是 由 操作 系统 和 Web 应 用 程序 组 成 的 。 许 多 程序 员 不 知道 如 何 开 发 安全 
的 应 用 程序 ， 他 们 没有 经 过 安全 编码 的 培训 。 他 们 的 经 验 也 许 是 开发 独立 应 用 程序 或 企业 
Web 应 用 程序 ， 这 些 应 用 程序 没有 考虑 到 在 安全 缺陷 被 利用 时 可 能 会 出 现 灾难 性 后 果 。 

Web 应 用 的 大 多 数 安全 问题 都 属于 下 面 三 种 类 型 之 一 ，QD 服 务 器 向 公众 提供 了 不 应 该 
提供 的 服务 ， 导 致 存在 安全 隐患 ，@ 服 务 器 把 本 应 私有 的 数据 放 到 了 公开 访问 的 区 域 ， 导 
致 敏感 信息 泄露 ，@ 服 务 器 信赖 了 来 自 不 可 信赖 数据 源 的 数据 ， 导 致 受到 攻击 。 

许多 Web 服务 器 管理 员 从 来 没有 从 另 一 个 角度 来 看 看 他 们 的 服务 器 ， 没 有 对 服务 器 的 
安全 风险 进行 检查 ， 例 如 使 用 端口 扫描 程序 进行 系统 风险 分 析 等 。 如 果 他 们 曾经 这 样 做 了 ， 
就 不 会 在 自己 的 系统 上 运行 那么 多 的 服务 ， 而 这 些 服务 原本 无 须 在 正式 提供 Web 服务 的 机 
器 上 运行 ， 或 者 这 些 服 务 原 本 无 须 面 向 公众 开放 。 另 外 ， 他 们 没有 修改 对 外 提供 服务 的 应 
程序 的 banner 信息 ,使 攻击 者 容易 获取 到 Web 服务 器 对 外 提供 应 用 程序 的 相关 版 本 信息 ， 
根据 信息 找到 相对 应 的 攻击 方法 和 攻击 程序 。 


计算 机 网 络 安全 技术 日 


许多 Web 应 用 程序 容易 受到 通过 服务 器 、 应 用 程序 和 内 部 已 开发 代码 的 攻击 。 这 些 攻 
击 行为 直接 绕 过 了 周边 防火 墙 的 安全 措施 ， 因 为 端口 80(HTTP， 超 文本 传输 协议 ) 或 
443(SSL， 安 全 协议 层 ) 必 须 开放 ， 以 便 让 应 用 程序 正常 运行 。Web 应 用 安全 存在 非法 输入 、 
失效 的 访问 控制 、 失 效 的 账户 和 线程 管理 、 跨 站 脚本 攻击 、 绥 冲 区 溢出 、 注 射 攻击 、 异 常 
错误 处 理 、 不 安全 的 存储 、 拒 绝 服 务 攻击 、 不 安全 的 配置 管理 等 问题 。Web 应 用 程序 攻击 
包括 对 应 用 程序 本 身 的 DoS( 拒 绝 服 务 ) 攻 击 、 改 变 网 页 内 容 、SQL 注入 、 上 传 WebShell 以 
及 获取 对 Web 服务 的 控制 权限 等 。 

总 之 ，Web 应 用 攻击 之 所 以 与 其 他 攻击 不 同 ， 是 因为 它们 很 难 被 发 现 ， 而 且 可 能 来 自 
任何 在 线 用 户 ， 甚 至 是 经 过 验证 的 用 户 。Web 应 用 攻击 能 绕 过 防火 墙 和 入 侵 检测 产品 的 防 
护 ， 企 业 用 户 无 法 发 现存 在 的 Web 安全 问题 。 


全 7.3 ”Web 服务 器 的 安全 性 


7.3.1 Web 服务 器 的 作用 


浏览 过 网 页 的 用 户 应 该 都 对 Web 服务 器 有 一 定 的 了 解 。Web( 互 联网 信息 ) 服 务 器 分 很 
多 种 类 ， 包 括 Web、FTP、 主 流 媒 体 、 短 信 等 服务 器 。 通 俗 地 说 Web 服务 器 是 基于 网 站 架 
设 的 服务 器 ， 我 们 平时 可 以 浏览 的 网 页 都 是 在 别人 的 服务 器 上 保存 的 文件 。 那 么 Web 服务 
器 的 作用 具体 有 哪些 呢 ? 

Web 服务 器 也 称 为 WWW(World Wide Web) 服 务 器 ， 其 主要 作用 是 提供 网 上 信息 浏览 
服务 。 现 在 的 服务 器 后 台 还 包括 数据 库 一 一 用 来 更 新 前 台 的 页 面 。Web 可 以 提供 将 图 形 、 
音频 、 视 频 信息 集合 于 一 体 的 特性 。Web 是 非常 易于 导航 的 ， 只 需要 从 一 个 链接 转 到 另 一 
个 链接 ， 就 可 以 在 各 页 、 各 站 点 之 间 进 行 浏览 了 。 

现在 , Web 服务 器 已 成 为 Internet 上 最 大 的 计算 机 群 , Web 文档 之 多 、 链接 网 络 之 广 ， 
令 人 难以 想象 。 可 以 说 ，Web 服务 器 为 Internet 的 普及 迈 出 了 开创 性 的 一 步 ， 是 近年 来 
Internet 上 取得 的 最 激动 人 心 的 成 就 。 


7.3.2 ”Web 服务 器 存在 的 漏洞 


Web 服务 器 存在 的 主要 漏洞 包括 物理 路 径 泄露 、CGI 源 代码 泄露 、 目 录 遍 历 、 执 行 任 
意 命令 、 缓 冲 区 溢出 、 拒 绝 服务 、SQL 注入 、 条 件 竞争 和 跨 站 脚本 执行 漏洞 ，Web 漏洞 和 
CGI 漏洞 有 些 相似 的 地 方 ， 但 是 更 多 的 地 方 还 是 有 着 本 质 的 不 同 。 不 过 无 论 是 什么 漏洞 ， 
都 体现 着 安全 是 一 个 整体 的 真理 ， 考 虑 Web 服务 器 的 安全 性 ， 必 须要 考虑 到 与 之 相配 合 的 
操作 系统 。 

1. 物理 路 径 泄 露 


物理 路 径 泄露 一 般 是 由 于 Web 服务 器 处 理 用 户 请 求 出 错 导致 的 ， 如 通过 提交 一 个 超 长 
的 请 求 ， 或 者 是 某 个 精心 构造 的 特殊 请 求 ， 或 是 请 求 一 个 Web 服务 器 上 不 存在 的 文件 。 这 
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请 求 都 有 一 个 共同 特点 ， 那 就 是 被 请 求 的 文件 肯定 属于 CGI 脚本 ， 而 不 是 静态 HTML 


妆 忠 


还 有 一 种 情况 ,就 是 Web 服务 器 的 某 些 显示 环境 变量 的 程序 错误 地 箱 出 了 Web 服务 
的 物理 路 径 ， 这 应 该 算是 设计 上 的 问题 。 

2. 目录 遍历 

目录 遍历 对 于 Web 服务 器 来 说 并 不 多 见 ， 通 过 对 任意 目录 附加 “./”， 或 者 是 在 有 特 
殊 意义 的 目录 附加 “./”， 或 者 是 附加 “./” 的 一 些 变形 ， 如 “.\” 或 “./” 甚至 其 编码 ， 
者 可 能 导致 目录 遍历 。 前 一 种 情况 并 不 多 见 ， 但 是 后 面 的 几 种 情况 就 常见 得 多 ， 以 前 非常 
流行 的 TIS 二 次 解码 漏洞 和 Unicode 解码 漏洞 都 可 以 看 作 是 变形 后 的 编码 。 

3. 执行 任意 命令 

执行 任意 命令 即 执行 任意 操作 系统 命令 ， 主 要 包括 两 种 情况 。 一 种 是 通过 目录 志 历 沁 
洞 ， 访问 系统 文件 夹 执行 指定 的 系统 命令 ,如 二 次 解码 和 Unicode 解码 漏洞 。 另 外 一 种 就 是 
Web 服务 器 把 用 户 提交 的 请 求 作为 SSI 指令 解析 ， 因 此 导致 执行 任意 命令 。 

4. 缓冲 区 溢出 

绥 冲 区 溢出 漏洞 想必 大 家 都 很 热 悉 ， 无 非 是 Web 服务 器 没有 对 用 户 提交 的 超 长 请 求 进 
行 合适 的 处 理 ， 这 种 请 求 可 能 包括 超 长 URL、 超 长 Http Header 域 或 者 是 其 他 超 长 的 数据 。 
这 种 漏洞 可 能 导致 服务 器 执行 任意 命令 或 者 是 拒绝 服务 ， 一 般 取决 于 构造 的 数据 。 


5. 拒绝 服务 


拒绝 服务 产生 的 原因 多 种 多 样 ， 主 要 包括 超 长 URL、 特 殊 目 录 、 超 长 Http Header 域 、 
畸形 HTTP Header 域 或 者 是 Dos 设备 文件 等 。 由 于 Web 服务 器 在 处 理 这 些 特殊 请 求 时 不 知 
所 措 或 者 是 处 理 方式 不 当 ， 因 此 出 错 终止 或 挂 起 。 

6. SQL 注入 


SQL 注入 的 漏洞 是 在 编程 过 程 中 造成 的 。 后 台数 据 库 允 许 动态 SQL 语句 的 执行 。 前 台 
应 用 程序 没有 对 用 户 输入 的 数据 或 者 页 面 提交 的 信息 (如 POST、GET) 进 行 必要 的 安全 检查 。 
这 是 由 数据 库 自身 的 特性 造成 的 ， 与 Web 程序 的 编程 语言 无 关 。 几 乎 所 有 关系 数据 库 系 统 
和 相应 的 SQL 语言 都 面临 SQL 注入 的 潜在 威胁 。 

7. 条 件 竞争 

这 里 的 条 件 竞争 主要 针对 一 些 管 理 服务 器 而 言 ， 这 类 服务 器 一 般 是 以 System 或 Root 
身份 运行 的 。 当 它们 需要 使 用 一 些 临 时 文件 ， 而 在 对 这 些 文件 进行 写 操 作 之 前 ， 却 没有 对 
文件 的 属性 进行 检查 ， 一 般 可 能 导致 重要 系统 文件 被 重 写 ， 甚 至 获得 系统 控制 权 。 

8. CGI 漏洞 

CGI 漏洞 通常 是 指 CGI 脚本 存在 的 安全 漏洞 ， 比 如 暴露 敏感 信息 、 默 认 提供 的 某 些 正 
常服 务 未 关闭 、 利 用 某 些 服务 漏洞 执行 命令 、 应 用 程序 存在 远程 溢出 、 非 通用 CGI 程序 的 

上 述 内 容 只 是 概要 地 对 Web 应 用 系统 存在 的 安全 风险 进行 了 分 析 ， 当 然 还 有 更 多 的 其 
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也 安全 漏洞 。 如 果 进行 Web 应 用 交易 , 我 们 建议 寻求 专业 的 安全 服务 团队 或 机 构 对 Web 应 
的 站 点 进行 风险 评估 ， 以 减少 Web 应 用 系统 的 风险 。 


7.3.3 IIS 的 安全 问题 


为 IS(Internet Information Server) 的 方便 性 和 易 用 性 ， 所 以 成 为 最 受 欢迎 的 Web 服务 
器 软件 之 一 。 但 是 ，IIS 从 诞生 起 ， 其 安全 性 就 一 直 受 到 人 们 的 质疑 ， 原 因 在 于 其 经 常 被 发 
现 有 新 的 安全 漏洞 。 虽然 IS 的 安全 性 与 其 他 的 Web 服务 软件 相 比 有 差距 ， 不 过 ， 只 要 我 
们 精心 对 IIS 进行 安全 配置 ， 仍 然 能 建立 一 个 安全 性 较 高 的 Web 服务 器 。 

要 创建 一 个 安全 可 靠 的 Web 服务 器 ， 必 须要 实现 Windows 7 操作 系统 和 IIS 的 双重 安 
全 ,因为 IS 的 用 户 同时 也 是 Windows 7 的 用 户 。 下 面 来 介绍 在 Windows 7 下 如 何 安装 IIS7， 
以 及 IIS7 在 安装 过 程 中 的 一 些 需 要 注意 的 设置 。 

(1) 进入 Windows 7 的 控制 面板 ， 选 择 【 打 开 或 关闭 Windows 功能 】 选 项 ， 如 图 7.1 
所 示 。 现 在 出 现 了 安装 Windows 功能 的 选项 菜单 ， 对 于 选择 的 项 目 ， 我 们 需要 手动 选择 需 
要 的 功能 。 

(2) 安装 完成 后 ， 再 次 进入 【控制 面板 】 窗 口 ， 选 择 【 管 理工 具 】 选 项 ， 双 击 【Internet 
信息 服务 (IIS) 管 理 器 】 选 项 ， 如 图 7.2 所 示 。 
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7.1 打开 或 关闭 Windows 功能 图 7.2 Internet(IIS) 管 理 器 选项 


(3) 打开 【Internet 信息 服务 (IIS) 管 理 器 】 窗 口 ， 首 先 在 【连接 】 窗 格 中 的 控制 树 中 选 
中 需要 设置 的 Web 站 点 ， 再 单 击 【操作 】 窗 格 中 的 【 绑 定 】 超 链接 ， 如 图 7.3 所 示 。 

(4) 在 打开 的 【网 站 绑 定 】 对 话 框 中 显示 了 该 站 点 的 主机 名 、 绑 定 的 人 P 地 址 和 端口 等 
信息 。 默 认 情 况 下 ， 在 列表 中 会 显示 一 条 信息 ， 用 户 可 以 编辑 该 条 目 。 若 一 个 Web 网 站 有 
多 个 域名 或 使 用 多 个 IP 地 址 侦 听 ,用 户 也 可 以 单 击 【 添 加 】 按 钮 ， 添 加 一 条 新 的 绑 定 条 目 ， 
如 图 7.4 所 示 。 

(5) 在 列表 中 选择 设置 的 条 目 ， 单 击 【编辑 】 按 钮 ， 打 开 【 编 辑 网 站 绑 定 】 对 话 框 。 在 
【编辑 网 站 绑 定 】 对 话 框 中 设置 Web 网 站 绑 定 的 瑟 地 址 、 域 名 或 端口 号 ， 如 图 7.5 所 示 。 


| 第 7 章 Web 的 安全 性 


图 7.3 Web 站 点 配置 主页 
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图 7.4 【网 站 绑 定 】 对 话 杠 7.5 【编辑 网 站 绑 定 】 对 话 杠 
1.1IS 安全 安装 


在 保证 系统 具有 较 高 安全 性 的 情况 下 ， 还 要 保证 IS 的 安全 性 。 要 构建 一 个 安全 的 IS 
服务 器 ， 必 须 从 安装 时 就 充分 考虑 安全 问题 。 

1) 不 要 将 IIS 安装 在 系统 分 区 上 

默认 情况 下 ，IIS 与 操作 系统 安装 在 同一 个 分 区 中 ， 这 是 一 个 潜在 的 安全 隐患 。 因 为 一 
且 入 侵 者 绕 过 了 IIS 的 安全 机 制 ， 就 有 可 能 入 侵 到 系统 分 区 。 如 果 管 理 员 对 系统 文件 夹 、 文 
件 的 权限 设置 不 是 非常 合理 ， 入 侵 者 就 有 可 能 算 改 、 删 除 系统 的 重要 文件 ， 或 者 利用 一 些 
其 他 的 方式 获得 权限 的 进一步 提升 。 建 议 将 IIS 安装 到 其 他 分 区 ， 即 使 入 侵 者 能 绕 过 IIS 的 
安全 机 制 ， 也 很 难 访问 到 系统 分 区 。 

2) ”修改 IS 的 安装 默认 路 径 

IIS 的 默认 安装 的 路 径 是 Inetpub，Web 服务 的 页 面 路 径 是 Inetpub www root， 这 是 任何 
一 个 熟悉 IIS 的 人 都 知道 的 ， 入 侵 者 也 不 例外 ,使 用 默认 的 安装 路 径 无 疑 是 告诉 了 入 侵 者 系 
统 的 重要 资料 ， 所 以 需要 更 改 。 

3) 打上 Windows 和 IIS 的 补丁 

只 要 提高 安全 意识 ， 经 常 注意 系统 和 IIS 的 设置 情况 ， 并 打上 最 新 的 补丁 ，IIS 就 会 是 
一 个 比较 安全 的 服务 器 平台 ， 能 为 我 们 提供 安全 稳定 的 服务 。 


2. lS 的 安全 配置 


1) ”删除 不 必要 的 虚拟 目录 
IIS 安装 完成 后 在 www root 下 默认 生成 了 一 些 目录 ， 并 默认 设置 了 几 个 虚拟 目录 ， 包 
括 IIS Help、IIS Admin、IIS Samples、MSADC 等 ， 它 们 的 实际 位 置 有 的 是 在 系统 安装 目录 
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下 ， 有 的 是 在 重要 的 Program Files 下 ， 从 安全 的 角度 来 看 很 不 安全 ， 而 且 这 些 设置 实际 也 
没有 太 大 的 作用 ， 所 以 我 们 可 以 删除 这 些 不 必要 的 虚拟 目录 。 

2) “删除 危险 的 IS 组 件 

有 些 默认 安装 的 IS 组 件 可 能 会 造成 安全 威胁 ， 应 该 从 系统 中 删除 掉 。 以 下 是 一 些 “ 黑 
名 单 ”， 大 家 可 以 根据 自己 的 需要 决定 是 否 需要 删除 。 

(1) Internet 服务 管理 器 (HTML): 这 是 基于 Web 的 IIS 服务 器 管理 页 面 ， 一 般 情况 下 
不 应 通过 Web 进行 管理 ， 建 议和 卸载 它 。 

(2) SMTP Service 和 NNTP Service: 如 果 不 打算 使 用 服务 器 转发 邮件 和 提供 新 闻 组 服 
务 ， 就 可 以 删除 这 两 项 ， 否 则 ， 可 能 因为 它们 的 漏洞 带 来 新 的 不 安全 。 

(3) 样本 页 面 和 脚本 : 这 些 样本 中 有 些 是 专门 为 显示 IIS 的 强大 功能 设计 的 , 但 同样 可 
被 用 来 从 Internet 上 执行 应 用 程序 和 浏览 服务 器 ， 建 议 删除 。 

3) 为 IIS 中 的 文件 分 类 设置 权限 

除了 在 操作 系统 里 为 IIS 的 文件 设置 必要 的 权限 外 ， 还 要 在 IS 管理 器 中 为 它们 设置 权 
限 ， 以 期 做 到 双 保 险 。 一 般 而 言 ， 对 一 个 文件 夹 永 远 也 不 应 同时 设置 写 和 执行 权限 ， 以 防 
止 攻击 者 向 站 点 上 传 并 执行 恶意 代码 。 另 外 ， 目 录 浏 览 功 能 也 应 禁止 ， 预 防 攻击 者 把 站 点 
上 的 文件 夹 浏览 个 遍 最 后 找到 漏洞 。 一 个 好 的 设置 策略 是 : 为 Web 站 点 上 不 同类 型 的 文件 
都 建立 目录 ， 然 后 给 它们 分 配 适 当权 限 。 

(1) 静态 文件 文件 夹 : 包括 所 有 静态 文件 ， 如 HTM 或 HTML,， 给 予 允许 读 取 、 拒 绝 写 
的 权限 。 

(2) ASP 脚本 文件 夹 : 包含 站 点 的 所 有 脚本 文件 ， 如 cgi、vbs、ASP 等 ， 给 予 允许 执 
行 、 拒 绝 写 和 读 取 的 权限 。 

(3) EXE 等 可 执行 程序 .包含 站 点 上 的 二 进 制 执行 文件 ， 给 予 允 许 执行 、 拒 绝 写 和 拒 
绝 读 取 的 权限 。 

4) ”删除 不 必要 的 应 用 程序 映射 

IIS 中 默认 存在 很 多 种 应 用 程序 映射 ， 如 .htw、.ida、.idq、.ASP、.cer、.cdx、.asa、.htr 
以 及 .idc、.shtm、.shtml、.stm、.printer 等 ， 通 过 这 些 程序 映射 ，IIS 就 能 知道 对 于 什么 样 的 
文件 该 调用 什么 样 的 动态 链接 库 文 件 来 进行 解析 处 理 。 但 是 , 在 这 些 程序 映射 中 , 除了 .ASP 
的 这 个 程序 映射 外 ， 其 他 的 文件 在 网 站 上 都 很 少 用 到 。 而 且 在 这 些 程序 映射 
中 ，.htr、.idq/ida、.printer 等 多 个 程序 映射 都 已 经 被 发 现存 在 缓存 溢出 问题 ， 入 侵 者 可 以 利 
这 些 程序 映射 中 存在 的 缓存 溢出 获得 系统 的 权限 。 即 使 已 经 安装 了 系统 最 新 的 补丁 程序 ， 
仍然 没 法 保证 安全 。 

所 以 ， 我 们 需要 将 这 些 不 需要 的 程序 映射 删除 。 在 【Internet 服务 管理 器 】 右 侧 窗口 中 ， 
右 击 网 站 目录 ， 选 择 【属性 】 选 项 ， 在 网 站 目录 属性 对 话 框 的 【 主 目录 】 选 项 卡 中 ， 单 击 
【配置 】 按 钮 ， 弹 出 【应 用 程序 配置 】 对 话 框 ， 在 【应 用 程序 映射 】 选 项 卡 中 删除 无 用 的 
程序 映射 ， 如 图 7.6 所 示 。 如 果 需 要 这 一 类 映射 文件 时 ， 必 须 安装 最 新 的 系统 修补 程序 以 解 
决 程序 映射 存在 的 问题 ， 并 且 选 中 相应 的 程序 映射 ， 再 单 击 【 编 辑 】 按 钮 ， 在 【添加 /编辑 
应 用 程序 扩展 名 映射 】 对 话 框 中 选中 【检查 文件 是 否 存在 】 复 选 框 ， 如 图 7.7 所 示 。 这 样 当 
客户 请 求 这 类 文件 时 ，IIS 会 先 检查 文件 是 否 存在 ， 文 件 存在 后 才 会 去 调用 程序 映射 中 定义 
的 动态 链接 库 来 解析 。 
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5) ”保护 日 志 安 全 
志 是 系统 安全 策略 的 一 个 重要 环节 ，IIS 带 有 日 志 功 能 ， 能 记录 所 有 的 用 户 请 求 。 确 


保 日 志 的 安全 能 有 效 提 高 系统 整体 安全 性 。 


| 
应 用 程序 喘 射 | 应 用 程序 选项 | 应 用 程序 调式 | 


CT WIT \Systemn32\nsx3prt. dll 
扩展 名 E); Jante 
动作 
个 全 部 动作 凡 ) 
售 限 于); ET POST 
屎 脚本 引擎 GE) 


图 7.6 删除 程序 映射 图 7.7 添加 /应 用 程序 扩展 名 映射 


方法 一 : 修改 IIS 日 志 的 存放 路 径 。 

IS 的 日 志 默 认 保 存在 一 个 众所周知 的 位 置 (%WinDir%\System32\LogFiles)， 这 对 Web 
日 志 的 安全 很 不 利 ， 所 以 我 们 最 好 修改 一 下 其 存放 路 径 。 在 【Internet 服务 管理 器 】 窗 口中 
右 击 网 站 目录 ， 选 择 【 属 性 】 选 项 ， 在 网 站 目录 属性 对 话 框 的 【Web 站 点 】 选 项 卡 中 选中 
【启用 日 志 记录 】 选 项 ， 并 单 击 旁边 的 【属性 】 按 钮 ， 在 【扩充 日 志 记录 属性 】 对 话 框 的 
【常规 属性 】 选 项 卡 中 ， 单 击 【浏览 】 按 钮 ， 或 者 直接 在 文本 框 中 输入 日 志 存 放 路 径 即 可 ， 
如 图 7.8 所 示 。 


5c 
日 志文 件 目录 0 
aaairwsyseeszveiio 站 


日 老 文件 各 :3SVC3\exyynadd leg 


图 7.8 修改 1IS 日 志 的 存放 路 径 
方法 二 : 修改 日 志 访 问 权 限 。 
日 志 是 为 管理 员 了 解 系统 安全 状况 而 设计 的 ， 其 他 用 户 没有 必要 访问 ， 应 将 日 志保 存 
在 NTFS 分 区 上 ， 设 置 为 只 有 管理 员 才能 访问 。 当 然 ， 如 果 条 件 许 可 ， 还 可 单独 设置 一 个 


分 区 用 于 保存 系统 日 志 ， 分 区 格式 是 NTFS， 这 样 除 了 便于 管理 外 ， 也 避免 了 日 志 与 系统 保 
存在 同一 分 区 给 系统 带 来 的 安全 威胁 。 如 果 IIS 日 志保 存在 系统 分 区 中 ， 入侵 者 使 用 软件 让 
IIS 产生 大 量 的 日 志 , 可 能 会 导致 日 志 填 满 硬盘 空间 , 整个 Windows 系统 将 因为 缺乏 足够 可 
用 的 硬盘 空间 而 崩溃 ， 为 日 志 设置 单独 的 分 区 则 可 以 避免 这 种 情况 的 出 现 。 
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通过 以 上 的 一 些 安全 设置 ， 相 信 你 的 Web 服务 器 会 安全 许多 。 不 过 ， 需 要 提醒 大 家 注 
意 的 是 : 不 要 认为 进行 了 安全 配置 的 主机 就 一 定 是 安全 的 ， 我 们 只 能 说 一 台 主 机 在 某 些 情 
况 下 的 一 定时 间 内 是 安全 的 ， 随 着 网 络 结构 变化 、 新 漏洞 的 发 现 及 用 户 操作 ， 主 机 的 安全 
状况 是 随时 随地 变化 的 ， 只 有 让 安全 意识 贯穿 整个 过 程 才能 做 到 真正 的 安全 。 


7.4 脚本 语言 的 安全 性 


7.4.1 CGI 程序 的 安全 性 


CGI(COMMOM GATE INTERFACE) 是 外 部 应 用 程序 与 Web 服务 器 交互 的 一 个 标准 接 
口 。CGI 应 用 程序 可 以 完成 客户 端 与 服务 器 的 交互 操作 。 例 如 : 一 个 能 够 访问 外 部 数据 库 
的 CGI 程序 可 以 使 客户 端 用 户 通过 Web 服务 器 进行 数据 库 的 查询 。 传 统 的 Web 浏览 方式 
均 为 单 向 ，CGI 的 出 现 提供 了 交互 访问 能 力 ， 使 得 Internet 漫游 更 生动 、 更 实用 ， 因 此 在 我 
们 编写 出 一 个 CGI 程序 后 ， 一 定 会 倍 感 骄 傲 ， 但 是 Internet 的 宗旨 是 面向 每 个 人 的 , 任何 人 
可 在 任何 时 候 任意 、 多 次 通过 Internet 访问 某 Web 服务 器 ， 而 这 些 特性 又 会 给 Internet 带 来 
安全 上 的 问题 。 网 上 存在 一 些 出 于 好 奇 或 者 居心 区 测 的 人 ， 他 们 会 想 出 各 种 办 法 攻击 别人 
的 系统 ， 这 些 人 就 是 所 谓 的 网 上 “黑客 ”， 所 以 用 户 在 编写 CGI 程序 时 应 尤其 注意 安全 
问题 。 

几乎 所 有 的 CGI 漏洞 均 来 自 于 用 户 的 交互 ， 这 种 交互 性 在 给 主页 带 来 活力 的 同时 ， 成 
为 Web 服务 器 的 一 个 潜在 危险 。 具有 破坏 性 的 数据 可 以 从 多 种 渠道 进入 Web 服务 器 ， 客户 
端 可 以 设计 自己 的 数据 录入 方式 、 数 据 内 容 ， 然 后 调用 服务 器 端的 CGI 程序 。 例 如 客户 端 
用 户 编写 以 下 HTML 程序 : 

<form METHOD=""POST"ACTION="HTTP: "WWW.YAHOO.COM/BIN/SEACH""> 

<div align="center"><center><pre><font color="#0000FF"><small> 


<small></font></pre> 
</center></div><div align="center"><center><pre><font color="#0000FF"><s 


mall>ENTER your name, first and last: 

</small></font></pre> 

</center></div><div align="center"><center><pre><font color="#0000FF"><s 
mall> 

<input TYPE=" "TEXT"NAME="FIRST") &lt;br"> 

<input TYPE=""TEXT"NAME="LAST") g&lt;br"> 

</small> 

</font></pre> 

</center></div> 

</form> 


在 这 里 客户 端 用 户 很 容易 将 服务 器 的 地 址 和 CGI 程序 写 进来 ， 然 后 用 户 可 以 任意 修改 
要 传递 的 参数 ， 假 设 服务 器 端的 CGI 程序 对 输入 数据 不 进行 严格 检查 ， 这 些 数据 就 会 进入 
服务 器 端的 数据 库 ， 而 长 度 可 以 任意 由 客户 端 用 户 设 定 。 还 有 一 些 别 有 用 心 的 “黑客 ” 冒 
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充 “ 忠 实 ” 的 客户 端 用 户 把 上 面 的 数据 传送 给 CGI 程序 ， 假 如 CGI 程序 没有 察觉 ， 后 果 便 
很 难 想 象 一 一 是 系统 “死机 ”甚至 可 能 瘫痪 。“ 黑 客 ” 可 以 使 用 各 种 方式 侵扰 服务 器 系统 ， 
那么 究竟 应 如 何 防 止 这 些 数据 的 入 侵 呢 ?首先 ， 服 务 器 应 对 输入 数据 的 长 度 有 严格 限制 ， 
在 使 用 POST 方法 时 ， 环 境 变量 CONTENT LENGTH 能 确保 合理 的 数据 长 度 ， 对 总 的 数据 
长 度 和 单个 变量 的 数据 长 度 都 应 有 检查 功能 ， 另 外 ，GET 方法 虽 可 以 自动 设 定 长 度 ， 但 不 
要 轻信 这 种 方法 ， 因 为 黑客 可 以 很 容易 地 将 GET 改 为 POST。 

CGI 程序 还 应 具有 检查 异常 情况 的 功能 ， 在 检查 出 陌生 数据 后 CGI 还 应 能 及 时 处 理 这 
些 情 况 。CGI 在 增加 这 些 功 能 后 ， 很 可 能 变 得 很 繁琐 。 在 实际 应 用 中 还 要 在 程序 的 烦琐 度 
和 安全 性 上 折 中 考虑 。“ 黑 客 ” 还 可 以 想 出 其 他 办 法 进攻 服务 器 ， 比 如 以 GET 和 了 POST 以 
外 的 方法 传输 数据 ， 通 过 改变 路 径 信息 盗窃 传统 上 的 密码 文件 /etc/passwd， 在 HTML 里 增 
加 Radio 选项 等 等 。 

总 之 ， “黑客 ” 的 手段 多 种 多 样 ， 在 编写 CGI 程序 时 一 定 要 严 加 防范 ， 防 止 “ 黑 客 ” 
的 侵扰 。Internet 的 开放 性 肯定 会 带 来 一 些 安全 问题 ， 如 何 处 理 好 开放 性 和 安全 性 的 关系 是 
一 个 贯彻 始终 的 问题 ， 很 难 有 一 路 而 就 的 方法 出 现 ， 只 有 在 使 用 中 不 断 积累 经 验 ， 总 结 教 
训 ， 才 能 最 大 限度 地 发 挥 nternet 的 开放 性 及 CGI 的 灵活 性 ， 又 能 在 安全 上 有 起 码 的 保证 。 


7.4.2 ASP 的 安全 性 


ASP(Active Server Page， 动 态 服务 器 网 页 ) 是 微软 推出 的 一 种 服务 器 端 脚本 开发 环境 ， 
能 创造 和 运行 动态 、 交 互 的 服务 程序 ， 其 实质 是 运行 服务 器 端的 脚本 。 它 结合 
ADO(Activex-Data Object) 组 件 ， 可 完成 对 Web 数据 库 的 绝 大 部 分 功能 ， 如 查询 、 增 删 、 更 
新 等 。 如 图 7.9 所 示 为 ASP 访问 Web 数据 库 的 工作 原理 。 因 为 ASP 简单 易学 、 容 易 管 理 ， 
使 得 一 些 网 络 管理 者 忽略 了 对 网 站 的 维护 ， 其 实 ASP 技术 也 存在 很 多 安全 漏洞 ， 这 些 安 
全 漏洞 给 网 络 攻 击 者 提供 了 方便 。 即 使 是 基于 ASP 技术 运行 Access 数据 库 的 解决 方案 也 
不 例外 。 


Web Web 
浏览 器 浏览 器 3 


数据 库 
7.9 ASP 访问 Web 数据 库 的 工作 原理 


现在 网 络 上 流行 的 对 ASP 的 攻击 最 开始 往往 查找 注入 点 。 一 般 以 ASP 为 架构 的 网 站 ， 
在 浏览 器 上 是 以 www.****.com/****.ASP? id=**** 的 形式 显示 出 来 的 ， 在 其 后 面 添加 and 
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1=1 和 and 1=2， 如 果 这 两 个 网 页 显示 的 结果 不 一 样 的 ， 是 不 是 就 存在 注入 漏洞 呢 ? 其 实 这 
是 SQL 的 特殊 字符 省 略 造 成 的 ， 往 往 攻 击 者 利用 黑客 工具 可 以 通过 这 个 漏洞 获得 管理 员 的 
密码 ， 这 是 很 危险 的 。 这 只 是 其 中 的 一 个 方法 , 而 另外 一 种 方法 是 通过 ASP 网 站 架设 的 论 
坛 实行 攻击 ， 例 如 动 网 7.0bbs 就 存在 上 传 页 面 漏洞 ， 其 上 传 页 面 是 以 upfile.ASP、 
upfile softASP、upfile jpg.ASP 等 几 种 形式 存在 , 攻击 者 通过 百度 和 Google 直接 搜索 上 述 
文件 名 ， 就 可 以 获得 此 类 网 站 的 上 传 地 址 ， 攻 击 者 可 以 利用 网 页 中 的 上 传 功 能 来 上 传 网 页 
木马 获得 WebShell， 这 种 WebShell 虽然 比 管理 员 权限 低 ， 但 是 足以 给 攻击 者 提供 很 大 的 
“帮助 ”， 所 以 不 要 以 为 开 着 防火 墙 和 杀毒 软件 就 高 枕 无 忧 了 。 

用 户 在 实际 测试 中 应 该 怎样 防范 针对 ASP 的 攻击 呢 ? 其 实 , 对 于 第 一 种 攻击 , 攻击 者 
往往 得 到 的 是 经 过 MD5 加 密 的 密码 ， 而 这 种 MD5 算法 是 一 种 不 可 逆 算 法 ， 这 就 意味 着 攻 
击 者 只 能 使 用 暴力 破解 ， 如 果 管 理 员 使 用 一 个 “强壮 ”的 密码 的 话 ， 攻 击 者 是 很 难 在 短 时 
间 破 解 出 来 的 ， 但 这 是 一 种 被 动 的 防范 方法 ， 让 我 们 看 看 以 下 三 条 语句 : 

SQL=Select * from Users where User ID=" &Request ("ID") 


SQL="Select * from Users where User ID=' " &Request ("ID" 
SQL="Select * from Users where User Name like '%'” & Request ("Name") &"%'" 


区 分 数字 型 和 字符 型 参数 ， 只 要 看 SQL 语句 参数 两 边 有 没有 单 引号 即 可 ,很 明显 ,第 
一 名 没有 单 引 号 ; 第 二 句 和 第 三 句 有 单 引 号 ， 是 字符 型 ， 对 于 数字 型 变量 ， 传 入 的 参数 都 
是 作为 常量 ， 比 如 用 户 传 "1 and 1=1" (不 带 双 引号 ) 进 去 ，SQL 语句 就 是 User ID='1 and 1=1'， 
在 单 引号 界定 范围 里 面 的 值 永远 都 只 是 一 个 常量 ， 打 破 这 个 范围 唯一 的 字符 就 是 界定 的 字 
符 : 单 引 号 。 所 以 ， 字 符 型 变量 只 要 过 滤 掉 单 引 号 就 安全 了 ， 至 于 怎样 过 滤 ， 最 好 是 把 一 
个 单 引号 替换 成 两 个 单 引 号 ， 因 为 SQL 语句 里 面 规定 ， 常 量 的 表示 方法 为 : " "常量 ' "。 常 
量 里 面 如 果 有 单 引号 ， 可 以 用 两 个 单 引号 代表 。 这 样 ， 既 可 以 保持 用 户 输入 的 原貌 ， 又 可 
以 保证 程序 的 安全 。 
对 于 攻击 者 上 传 ASP 木马 ， 我 们 要 了 解 ASP 木马 的 工作 原理 ， 大 部 分 的 ASP 木马 的 
运行 都 调 “shell. application” 和 “wscript. shell”， 所 以 我 们 只 要 在 注册 表 中 把 上 述 的 脚本 
对 象 进行 改名 或 者 删除 ， 也 就 是 限制 系统 对 “脚本 Shell” 的 创建 ， 大 部 分 的 ASP 木马 将 
无 法 运行 ， 一 般 的 ASP 木马 ， 在 WebShell 权限 下 主要 是 利用 以 下 几 类 ASP 组 件 : 
Wscript.Shell (classid:72C24DD5-D70A-438B-8A42-98424B88AFB8) 
Wscript.Shell.1 (classid:F935DC22-1CF0-11D0-ADB9-00C04FD58AO0B) 
Wscript.Network (classid:093FF999-1EA0-4079-9525-9614C3504B74) 
Wscript.Network.1 (classid:093FF999-1EA0-4079-9525-9614C3504B74) 
File System Object (classid:0D43FE01-F093-11CF-8940-00A0C9054228) 


为 了 有 效 地 防止 ASP 源 代码 泄露 , 可 以 对 ASP 页 面 进行 加 密 , 方法 一 般 有 两 种 : 一 种 
是 使 用 组 件 技术 将 编程 逻辑 封装 入 DLL 文件 中 ,由 于 数据 库 的 连接 信息 封装 在 DLL 文件 中 ， 
此 具有 很 好 的 安全 性 ; 另 一 种 是 使 用 微软 的 Script Enconder 对 ASP 页 面 进行 加 密 ，Script 
Enconder 只 加 密 在 HTML 页 面 中 嵌入 的 ASP 代码 ， 其 他 部 分 仍 保持 不 变 。 这 就 使 得 我 们 仍 
然 可 以 使 用 FrontPage 或 Dreamweaver 等 常用 网 页 编辑 工具 对 HTML 部 分 进行 修改 ， 只 是 
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不 能 对 ASP 加 密 部 分 进行 修改 ， 否 则 将 导致 文件 失效 。Script Enconder 还 可 以 对 当前 目录 
中 的 所 有 ASP 文件 进行 批量 加 密 ， 并 把 加 密 后 的 文件 统一 输出 到 相应 的 目录 中 。 它 还 是 免 
费 软 件 ， 可 以 从 微软 网 站 直接 下 载 ， 下 载 后 运行 安装 即 可 。 

现在 绝 大 部 分 的 虚拟 主机 都 禁用 了 ASP 的 标准 组 件 File System Object， 因 为 这 个 组 件 
为 ASP 提供 了 强大 的 文件 系统 访问 能 力 ， 可 以 对 服务 器 上 的 任何 文件 进行 读 、 写 、 复 制 、 
删除 、 改 名 等 操作 。 但 是 禁用 此 组 件 后 ， 引 起 的 后 果 就 是 所 有 利用 这 个 组 件 的 ASP 将 无 法 
运行 ， 无 法 满足 客户 要 求 ， 如 何 既 允许 File System Object 组 件 ， 又 不 影响 服务 器 的 安全 性 
呢 ? 我 们 可 以 通过 修改 注册 表 ， 将 此 组 件 改名 ， 来 防止 此 类 木马 的 危害 

首先 ， 找 到 “HKEY _ CLASSES ROOT\Scripting.FileSystemObject” 键 值 ， 如 图 7.10 所 
示 ， 将 其 改 为 其 他 名 字 ， 但 是 要 记 住 改 的 名 字 ， 调 用 时 会 用 到 改过 的 名 字 。 另 外 ， 可 以 考 
虑 注销 此 组 件 ， 命 令 为 “RegSrv32 /u ci:\WINNT\ISYSTEM\scrrun.dll.”。 如 果 要 禁止 Guest 
用 户 使 用 scrrun.dll 来 防止 调用 此 组 件 ， 可 以 使 用 如 下 命令 : “cacls C:\WINNT\system32\ 
scrrun.dll /e /d guests”( 注 : 操作 均 需 要 重新 启动 Web 服务 器 后 才 会 生效 )。 


公 注册 和 表 编辑 器 
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图 7.10 注册 表 键 值 


通过 以 上 的 设置 基本 可 以 防范 目前 比较 流行 的 网 页 森马， 但 是 最 有 效 的 办 法 还 是 通过 
综合 安全 设置 ， 服 务 器 安全 和 程序 安全 都 达到 一 定 的 标准 ， 才 可 能 将 安全 等 级 设置 得 更 高 
防范 更 多 的 非法 入 侵 。 

远程 客户 端 可 以 通过 ASP 的 FSO(FileSystemObject) 组 件 对 目录 进行 操作 、 文 件 复制 、 
更 名 和 删除 、 修改 或 下 载 FAT 分 区 上 的 任何 文件 等 。 为 防止 此 种 危害 发 生 。 应 将 Access DB 
建立 在 NTFS 分 区 上 ， 只 设置 读 取 、 更 改 权限 。 避 免 将 Web 目录 设 定 为 “everyone full control”。 
此 外 ， 也 可 以 用 把 FSO 组 件 删除 或 者 改名 的 方法 来 解决 。 

在 Server Client 结构 的 MIS 开发 中 ， 由 于 程序 要 与 数据 库 服务 器 保持 联接 ,为 了 保证 
程序 的 灵活 性 和 扩充 性 , 比较 安全 的 方法 是 把 连接 参数 (用 户 ID 和 登录 口令 ) 存放 在 注册 表 
中 ， 或 者 是 采用 直接 读 取 INI 文件 的 方法 。 
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全 7.5 Web 浏览 器 的 安全 性 


7.5.1 浏览 器 本 身 的 漏洞 


浏览 器 为 用 户 提 供 了 美观 、 实 用 的 图 形 界面 ， 通 过 鼠标 操作 可 以 浏览 、 检 索 与 其 相关 
的 分 布 在 各 地 的 多 媒体 信息 (可 以 是 文字 、 图 片 、 图 像 、 动 画 等 信息 )。 浏 览 器 功能 强大 ， 使 
用 方便 ， 图 文 、 声 像 并 茂 ， 很 受用 户 欢迎 ， 已 成 为 因特网 上 最 具有 代表 性 的 信息 查询 工具 ， 
应 用 十 分 广泛 。 目 前 市 场 上 有 20 多 种 浏览 器 ， 并 且 这 个 数字 还 在 继续 增加 ， 我 们 常见 到 的 
浏览 器 有 Mosaic、Netscape、Navigator、Netscape Communicator、Internet Explorer、MYyIE， 
Tencent Explorer、Lynx 等 。 浏 览 器 作为 互联 网 上 信息 浏览 的 客户 端 软件 ， 其 安全 性 一 直 是 
用 户 关心 的 问题 。 从 浏览 器 的 开发 商 到 最 终 用 户 ， 人 们 始终 关心 浏览 器 是 否 从 Internet 上 下 
载 了 某 些 有 害 的 东西 ， 或 者 用 户 机 器 里 保存 的 一 些 信息 是 否 被 某 些 程序 破坏 或 者 盗 取 。 值 
得 人 们 关注 的 是 ， 一 些 专门 进行 网 络 破坏 的 黑客 ， 也 把 目光 上 果 在 了 浏览 器 上 面 ， 他 们 利用 
浏览 器 的 某 些 漏洞 ， 在 网 页 里 放置 一 些 恶意 代码 ， 通 过 浏览 器 对 网 页 的 解释 来 执行 ， 并 修 
改 用 户 端 Windows 的 注册 表 ， 从 而 达到 破坏 用 户 数据 的 目的 。 

浏览 器 的 功能 越 来 越 强 大 ， 但 是 由 于 程序 结构 的 复杂 性 ， 出 现在 浏览 器 上 的 漏洞 层 出 
不 穷 。 开 发 商 在 堵 住 旧 漏 洞 的 同时 ， 可 能 又 出 现 了 新 的 漏洞 。 浏 览 器 的 安全 漏洞 可 能 让 攻 
击 者 获取 磁盘 信息 、 安 全 口令 ， 甚 至 破坏 磁盘 文件 系统 等 。 下 面 列举 几 个 已 知 的 浏览 器 安 
全 漏洞 。 

1. 搜狗 浏览 器 一 “缓冲 区 溢出 ”漏洞 


2011 年 年 底 ， 黑 客 通过 搜狗 浏览 器 的 “缓冲 区 溢出 漏洞 ”攻破 Windows 8 操作 系统 ， 
运行 恶意 代码 ， 获 取 管理 员 权 限 ， 并 实现 了 对 用 户 计算 机 的 控制 。 这 是 微软 Windows 8 发 
布 以 来 首次 被 黑客 攻破 ， 而 这 并 不 是 Windows 8 的 自身 问题 。 

搜狗 浏览 器 很 容易 受到 “缓冲 区 溢出 ”漏洞 攻击 ， 这 也 直接 影响 了 搜狗 浏览 器 的 多 个 
版 本 软件 。 而 且 该 漏洞 属于 高 危 漏 洞 之 一 ， 可 以 直接 导致 程序 运行 失败 、 系 统 死机 。 更 为 
严重 的 是 ， 黑 客 可 以 利用 它 执行 非 授权 指令 ， 甚 至 可 以 取得 系统 特权 ， 进 行 各 种 非法 操作 。 
黑客 在 使 用 搜狗 浏览 器 打开 一 个 网 页 时 ， 计 算 机 中 的 计算 器 程序 立即 被 网 页 自动 激活 打开 。 
而 且 由 该 漏洞 同样 可 以 应 用 于 Win XP、Win 7 等 操作 系统 ， 如 果 黑 客 对 计算 机 植 入 木马 病 
毒 ， 后 果 将 更 为 严 
国内 众多 使 用 搜狗 浏览 器 的 用 户 将 面临 严重 风险 ， 而 至 于 漏洞 存在 原因 ， 研 究 人 员 认 
为 ， 搜 狗 浏览 器 使 用 了 过 期 的 Google Chrome 浏览 器 内 核 ， 长 时 间 未 更 新 让 搜狗 浏览 器 与 
Google 官方 脱节 ， 而 事实 上 ，Google 早已 在 新 版 本 的 Chrome 中 修复 了 此 漏洞 。 同 时 ， 上 
于 搜狗 浏览 器 没有 开启 DEP( 数 据 执行 保护 )、ASLR( 地 址 随机 化 保护 )、 沙 箱 等 重要 防护 功 
能 ， 无 法 控制 漏洞 触发 带 来 的 安全 风险 。 


县 。 
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2. IE 7.0 浏览 器 一 “0day” 漏 洞 


微软 了 E 7 浏览 器 出 现 “0day” 漏 洞 ， 可 被 利用 来 进行 挂 马 攻击 ， 目 前 该 攻击 代码 已 经 
在 网 上 扩散 ,该 漏洞 通过 IE 7 浏览 器 的 内 存 越界 漏洞 进行 攻击 , 不 但 影响 正 7 浏览 器 本 身 ， 
还 影响 以 下 7 为 核心 的 外 过 型 浏览 器 ， 如 傲游 、 世 界 之 窗 、 腾 讯 TT 等 。 如 果 不 打 补 丁 ， 使 
用 这 些 浏 览 器 上 网 ， 也 会 被 挂 马 网 站 攻击 。 基 于 IE 的 攻击 有 日 益 增 加 的 趋势 ， 而 且 网 上 已 
经 有 人 开始 利用 QQ 群 、 地 下 论坛 等 方式 ， 出 售 基于 此 漏洞 的 木马 生成 器 。 

3. 360 浏览 器 一 一 “缓冲 区 溢出 ”漏洞 

2011 年 年 底 , 国外 知名 技术 网 站 Sysinternals 论坛 曝 出 一 条 360 浏览 器 高 危 漏洞 的 消息 。 
此 消息 一 经 国内 媒体 报道 之 后 ， 引 起 国内 大 量 360 用 户 的 关注 ， 国 内 用 户 纷纷 开始 卸载 和 
寻找 替代 品 。 

据 了 解 ，Sysinternals 论坛 上 一 位 ID 为 “reacherj ”的 黑客 发 表 帖 子 表示 自己 发 现 了 360 
浏览 器 的 漏洞 ， 并 且 在 著名 视频 网 站 Youtube 上 公布 了 漏洞 演示 ， 以 证 明 该 漏洞 的 真实 性 。 
根据 “reacherj ”帖子 的 描述 ，360 浏览 器 存在 着 “缓冲 区 溢出 ”高 危 漏洞 ， 该 高 危 漏 洞 可 
直接 通过 互联 网 网 页 对 用 户 挂 马 ， 更 加 致命 的 是 ， 所 有 360 浏览 器 版 本 的 用 户 都 在 可 攻击 
范围 之 内 ， 黑 客 可 以 利用 该 漏洞 轻松 执行 任意 代码 ， 任 何 使 用 360 浏览 器 的 用 户 可 能 随时 
被 黑客 利用 木马 沦 为 “肉鸡 ”肉鸡 是 指 那 些 被 黑客 植 入 了 远程 控制 类 木马 或 后 门 程序 的 计 
算 机 ， 黑 客 可 通过 这 些 木 马 程 序 对 肉鸡 计算 机 进行 任意 宰杀 。 甚 至 更 让 人 担心 的 是 ， 用 户 
网 银 账 号 等 个 人 信息 可 能 受到 严重 威胁 ， 国 外 黑客 可 能 利用 该 高 危 漏洞 窃取 用 户 银行 信息 
和 密码 ， 以 致 给 用 户 造成 重大 财产 损失 。 


4. 火狐 浏览 器 一 “高 危 ”级 别 安全 漏洞 


火狐 浏览 器 (Firefox) 上 被 发 现 了 一 处 “高 危 ”级别 安 全 漏洞 ， 该 漏洞 可 能 导致 恶意 攻 
者 对 用 户 计算 机 实施 远程 控制 。 

这 一 安全 漏洞 存在 于 Firefox 2.0 及 以 后 版 本 上 ， 问 题 出 在 一 个 特别 的 URI handler 一 一 

“firefoxurl://” 站 点 上 ， 可 能 影响 到 互联 网 上 的 其 他 资源 。 由 于 漏洞 的 存在 ， 一 个 新 的 URI 

handler 已 被 注册 到 Windows 系统 上 。 如 果 firefoxurl:// 站 点 被 登录 ， 那 么 ftp://、http:// 及 类 
似 的 站 点 将 被 强行 登录 。 

FireFox 注册 了 “firefoxurl://” 的 URI handler， 意 味 着 用 户 在 利用 正 访问 一 个 特别 设计 
的 恶意 站 点 时 将 会 自动 调用 FireFox， 并 执行 他 们 所 希望 的 程序 。 系 统管 理 员 可 以 通过 取消 
注册 或 者 清除 火狐 浏览 器 上 的 URI handler， 或 者 不 登录 非法 网 站 来 确保 系统 安全 。 


Er 


7.5.2 ”ActiveX 的 安全 性 


ActiveX 是 微软 公司 提出 的 基于 COM 和 OLE 的 一 种 通用 开放 程序 接口 , 它 被 广泛 应 用 
于 第 三 方 应 用 程序 ( 即 控件 ) 开 发 。 但 由 于 第 三 方 开发 人 员 编 程 方面 的 原因 ， 控 件 出 现 越 来 越 
多 的 漏洞 ， 容 易 被 恶意 网 站 利用 后 进行 破坏 及 窃取 信息 等 活动 ， 给 个 人 和 企业 带 来 重大 损 
失 。 因 此 ， 对 ActiveX 控件 的 应 用 安全 进行 研究 具有 现实 意义 。 
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1. ActiveX 控件 的 概念 


ActiveX 是 以 微软 COM 模型 (Component Object Model) 为 理论 基础 建立 起 来 的 技术 , 通 
过 建立 带 有 接口 的 对 象 ，ActiveX 控件 能 被 其 他 COM 组 件 或 者 程序 调用 ， 为 代码 的 重用 提 
供 一 种 简化 途径 。 

ActiveX 控件 技术 提供 了 一 个 集成 平台 ， 为 开发 人 员 、 用 户 提供 了 一 个 快速 简便 的 在 
Internet 或 Intranet 程序 集成 的 方法 。 使 用 ActiveX 控件 可 以 轻松 方便 地 在 Web 页 中 插入 多 
媒体 、 交 互 式 对 象 、 各 种 文档 格式 以 及 复杂 程序 。 

ActiveX 控件 由 属性 、 方 法 和 事件 三 大 要 素 组 成 。 

属性 : 是 描述 控件 的 特征 信息 。 

方法 : 是 控件 提供 给 外 界 的 接口 ，ActiveX 控件 通过 开放 函数 名 称 及 参数 ， 为 用 户 使 用 
控件 提供 便利 。 

事件 : 是 控件 响应 用 户 控制 、 执 行 相应 方法 的 触发 条 件 ， 如 鼠标 单 击 、 双 击 、 悬 浮 等 。 

ActiveX 控件 嵌入 在 一 个 称 为 Container( 容 器 ) 的 软件 (如 正 、Word 等 ) 中 ,以 组 件 的 方式 
进行 工作 。 要 调用 ActiveX 控件 ， 首 先 要 创建 控件 实例 对 象 ， 通 过 实例 对 象 来 设置 和 操作 
ActiveX 控件 的 属性 和 方法 。 

以 浏览 器 为 容器 举例 : 当 Web 服务 器 向 浏览 器 回 传 内 嵌 ActiveX 控件 的 页 面 时 ， 浏 览 
器 先 在 本 地 注册 表 中 查询 是 否 含有 该 控件 的 CLSID(Class Identifier) 值 或 名 称 ， 若 找到 则 说 
明 该 控件 已 经 安装 ， 可 直接 使 用 ， 若 找 不 到 ， 则 会 根据 页 面 中 提供 的 该 控件 所 在 服务 器 的 
地 址 ， 下 载 并 完成 本 地 安装 注册 后 使 用 。 


2. ActiveX 控件 的 安全 问题 


ActiveX 控件 多 由 第 三 方 开发 ， 受 开发 者 水 平和 安全 意识 等 方面 的 影响 ， 其 所 提供 的 
ActiveX 控件 往往 存在 很 大 的 安全 隐患。 

由 于 使 用 ActiveX 控件 时 ， 需 要 下 载 到 本 地 进行 安装 并 且 对 外 开放 接口 ， 因 此 ActiveX 
控件 的 安全 问题 多 出 现在 以 下 四 个 方面 ， 一 是 其 导出 函数 可 能 具有 隐蔽 的 远 辑 功能 ， 如 操 
作 注册 表 、 读 写本 地 文件 等 ， 二 是 通过 控件 可 以 获取 本 地 私密 信息 ， 如 用 户 名 、 密 码 、 卫 
地 址 等 ， 三 是 控件 本 身 的 一 些 函数 在 处 理 参数 时 ， 由 于 未 对 参数 长 度 进行 检查 而 导致 字符 
串 缓冲 区 溢出 、 整 数 溢出 ， 格 式 化 字符 串 漏洞 导致 浏览 器 或 系统 异常 ， 四 是 一 些 恶意 控件 
可 以 通过 炊 骗 行为 使 用 户 访问 恶意 网 页 、 下 载 恶 意 程序 等 。 

这 些 安全 问题 一 般 都 是 在 用 户 毫 不 知情 的 情况 下 存在 和 被 利用 的 。 因 此 ， 如 何 对 
ActiveX 控件 的 安全 性 进行 检测 ， 及 时 发 现 它 所 存在 的 漏洞 是 避免 损失 的 前 提 。 

3. ActiveX 控件 漏洞 的 检测 与 发 现 


对 于 ActiveX 控件 漏洞 的 检测 与 发 现 主要 有 以 下 两 种 方式 。 

(1) 使 用 Fuzz 测试 工具 。Fuzz 测试 是 一 种 软件 测试 技术 ， 通 常用 来 发 现 软件 或 者 协议 
存在 的 安全 漏洞 。 这 种 测试 属于 黑 盒 测试 ， 其 测试 基本 思路 就 是 先 通过 系统 调用 获取 控件 
的 属性 和 方法 ， 利 用 自动 化 测试 工具 ， 根 据 控件 的 参数 情况 ， 给 程序 自动 输入 随机 或 者 异 
常数 据 ， 观 察 程序 的 反应 ， 如 果 程 序 发 生 异 常 中 止 或 显示 警告 信息 等 非 正 常情 况 ， 则 说 明 
程序 可 能 存在 安全 漏洞 。 
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较为 常用 的 Fuzz 测试 工具 是 ComRaider。ComRaider 可 以 根据 接口 所 提供 的 参数 类 型 
构造 不 同 的 Fuzz 脚本 , 并 且 此 脚本 还 可 通过 调试 器 来 进行 调试 。 可 以 根据 参数 类 型 的 不 同 ， 
构造 字符 串 溢出 漏洞 、 整 数 溢出 漏洞 、 格 式 化 字符 串 漏洞 等 。 但 对 于 控件 中 存在 的 逻辑 漏 
洞 ，Fuzz 工具 则 无 法 判断 ， 这 需要 通过 人 工 的 方式 来 进行 分 析 和 挖掘 。 

(2) 人 工分 析 方 法 。 先 通过 控件 解析 器 (如 ComRaider) 解 析出 控件 的 方法 和 属性 ， 再 根 
据 每 个 方法 的 参数 和 返回 值 来 手工 构造 测试 用 例 ， 依 次 对 各 个 属性 和 方法 进行 逻辑 覆盖 和 
基本 路 径 测 试 ， 根 据 页 面 的 返回 结果 ， 确 定 是 否 存在 安全 漏洞 。 这 种 方法 属于 白 盒 测试 ， 
其 测试 的 目标 是 查找 ActiveX 控件 是 否 存 在 恶意 修改 注册 表 、 操作 本 地 文件 、 泄露 本 地 文件 
信息 的 安全 隐患 ， 是 否 会 访问 恶意 网 页 、 下 载 恶 意 程序 等 逻辑 漏洞 。 

人 工分 析 的 一 般 步骤 如 下 。 

首先 , 通过 工具 解析 出 ActiveX 控件 的 属性 和 方法 ， 查 看 控件 中 提供 的 变量 、 函 数 、 函 
数 参 数 、 返 回 值 、ProgID、CLSID 等 信息 ， 根 据 获 取 的 这 些 信息 ， 可 大 致 判断 函数 的 功能 。 

其 次 ， 根 据 以 上 信息 来 构造 相应 的 测试 用 例 ， 编 写 漏洞 扫描 网 页 ， 通 过 浏览 器 运行 该 
网 页 ， 检 验 控 件 是 否 存在 安全 漏洞 。 

人 工分 析 方 法 除 可 以 测试 逻辑 漏洞 外 ， 也 可 以 检测 和 发 现 溢出 类 漏洞 ， 此 时 应 重点 关 
注 函 数 中 的 参数 ， 根 据 参 数 的 类 型 ， 分 别 进行 溢出 测试 。 虽 然 人 工分 析 方 法 的 投入 一 般 比 
较 大 ， 不 如 自动 测试 工具 快捷 ， 但 这 种 测试 方式 目标 性 强 、 结 果 准 确 、 灵 活性 高 ， 可 能 挖 
掘 出 软件 工具 无 法 发 现 的 更 深层 次 的 漏洞 。 

综合 以 上 两 种 方法 的 特点 ， 建 议 实际 工作 中 将 这 两 种 方法 进行 融合 。 先 采用 自动 化 的 
测试 方式 ， 重 点 关注 自动 测试 中 检测 出 有 蜡 常 的 控件 ， 再 通过 人 工分 析 方 式 进行 测试 和 调 
试 ， 进 一 步 确 诊 控件 是 否 存在 漏洞 ， 以 及 漏洞 产生 的 原因 和 危害 性 ， 从 而 为 漏洞 的 消除 提 
供 依据 。 


4. ActiveX 控件 漏洞 的 安全 防范 


ActiveX 可 以 应 用 于 各 种 软件 开发 中 ， 但 在 C/S 模式 或 单机 版 应 用 软件 中 ，ActiveX 控 
件 的 安全 性 问题 不 是 很 突出 ， 因 为 其 控件 的 来 源 比较 清楚 ， 有 些 是 自己 开发 的 控件 ， 并 且 
所 使 用 的 控件 也 相对 固定 。ActiveX 的 安全 性 主要 指 的 是 Web 中 所 使 用 的 控件 的 安全 。 

1) “使 用 特征 安全 的 ActiveX 控件 

ActiveX 控件 在 发 布 时 ， 开 发 者 可 使 用 安全 设置 和 数字 签名 来 保证 特征 安全 。 安 全 设置 
包括 两 级 安全 : 一 是 初始 化 安全 性 设置 ， 当 将 控件 标记 为 设置 初始 化 安全 性 后 ， 就 确保 了 
无 论 在 初始 化 时 使 用 什么 数据 和 脚本 ， 都 不 会 执行 有 损 于 最 终 用 户 计 算 机 的 操作 ， 一 个 设 
置 了 初始 化 安全 性 的 控件 不 会 写 入 或 修改 任何 Windows 注册 条 目 、INI 文件 或 作为 初始 化 
参数 结果 的 数据 文件 ， 二 是 脚本 安全 性 设置 ， 标 记 为 设置 脚本 安全 性 的 控件 将 不 能 从 用 户 
的 计算 机 中 获取 未 授权 的 信息 ， 也 不 能 对 系统 造成 破坏 。 

通过 Microsoft 的 验证 代码 工具 ， 可 以 对 ActiveX 控件 进行 签名 ， 这 告诉 用 户 没 有 他 人 
自 改 过 这 个 控件 ;为 了 使 用 验证 代码 工具 对 组 件 进 行 签名 ， 必 须 从 证 书 授 权 机 构 获 得 一 个 
数字 证 书 ; 证 书包 含 表 明 特 定 软件 程序 是 正版 的 信息 ， 这 确保 了 其 他 程序 不 能 再 使 用 原 程 
序 的 标识 。 证 书 还 记录 了 颁发 日 期 ， 当 用 户 试图 下 载 该 软件 时 ，Internet Explorer 会 验证 证 
书 中 的 信息 。 


计算 机 网 络 安全 技术 国 


2) 在 使 用 ActiveX 控件 前 进行 漏洞 检测 

由 于 受 软件 开发 商 技术 或 管理 方面 的 影响 ， 即 使 对 所 发 行 的 ActiveX 控件 加 入 了 安全 
特征 ， 也 不 能 完全 保证 该 控件 是 绝对 安全 的 。 因 此 ， 在 使 用 ActiveX 控件 前 进行 漏洞 检测 
还 是 很 有 必要 的 ， 根 据 检测 结果 进行 区 别 对 待 。 

3) ”安装 补丁 文件 

如 果 所 使 用 的 操作 系统 和 应 用 软件 的 原 开 发 商 已 经 发 布 了 新 补丁 或 升级 版 本 ， 用 户 及 
时 打上 新 补丁 或 更 新 到 新 版 本 是 构建 安全 软件 环境 的 首选 ， 因 为 更 新 后 的 版 本 对 已 经 发 现 
的 漏洞 进行 了 有 针对 性 的 封 堵 。 

4) 浏览 器 中 的 安全 设置 

在 浏览 器 中 使 用 ActiveX 控件 时 , 浏览 器 就 是 运行 的 容器 , 因此 浏览 器 本 身 的 安全 设置 
是 防御 漏洞 的 第 一 道 关口 。 要 做 好 这 一 道 安全 ， 一 是 及 时 将 浏览 器 升级 至 最 新 版 本 ， 二 
在 浏览 器 中 进行 安全 设置 。 选 择 【 工 具 】 一 【Internet 选项 】 选 项 ， 打 开 【Internet 选项 】 
对 话 框 ， 切 换 到 【安全 】 选 项 卡 ， 选 择 Internet 选项 ， 再 单 击 【 自 定义 级 别 】 按 钮 ， 拖 动 滚 
动 条 至 【ActiveX 控件 和 插件 】 位 置 ， 根 据 需 要 对 相应 的 管理 项 进行 设置 ， 如 图 7.11 所 示 。 
对 于 需要 特别 放行 的 站 点 可 以 将 其 加 入 到 【可 信 站 点 】 中 。 


安全 设置 攻 2 一 x 一 | 
设置 G) 


IESEEEREEITE 
图 hctiveX 控件 自动 提示 
司 莱 用 


局 用 
图 A AetiveX 控件 执行 脚 = 
茜 | 
司 局 用 
提示 
图 对 没有 标记 为 安全 的 hctivex 控件 进行 初 好 化 和 有 
加 禁用 


年 团 为): | 安全 级 - 中 -| 


7.11 IE 浏览 器 中 ActiveX 的 设置 


5) ”屏蔽 所 有 非 主 动 安装 的 控件 

有 些 ActiveX 控件 的 安装 并 不 是 用 户主 动 安装 的 , 而 是 捆绑 在 其 他 软件 中 悄悄 在 后 台 安 
装 的 ， 而 在 实际 运行 中 ， 恰 恰 就 是 这 些 控件 容易 给 用 户 造成 很 大 的 损失 。 因 此 ， 屏 项 所 有 
不 是 主动 安装 的 组 件 尤 为 重要 。 用 户 可 以 使 用 组 策略 或 第 三 方 优化 工具 来 屏蔽 或 删除 这 些 
额外 的 控件 。 

6) ”使 用 安全 软件 

通常 ，ActiveX 控件 漏洞 的 利用 都 是 以 木马 的 形式 出 现 的 ， 因 此 ， 选 择 一 款 能 有 效 检 测 
和 阻止 木马 的 安全 软件 也 是 很 有 必要 的 。 对 于 安全 软件 所 拦截 的 操作 ， 用 户 可 以 人 为 地 作 
出 判断 ， 对 于 已 确认 安全 且 必 须 执 行 的 控件 ， 可 以 进行 【放行 】 或 【添加 到 信任 区 域 】， 
其 余 不 明 操作 可 以 选择 全 部 阻止 ， 这 将 为 用 户 的 网 络 应 用 提供 一 道 安全 的 屏障 。 


7.5.3 Cookie 


Cookie( 有 时 也 用 其 复数 形式 Cookies) 是 指 某 些 网 站 为 了 辨别 用 户 身份 , 进 
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的 安全 性 


EF 行 Session 跟 


踪 而 储存 在 用 户 本 地 终端 上 的 数据 (通常 经 过 加 密 )。Cookie 是 由 服务 器 端 生 成 ， 发 送 给 
User-Agent( 一 般 是 浏览 器 )， 浏 览 器 会 把 Cookie 的 key/value 保存 到 某 个 目录 下 的 文本 文件 
内 ， 下 次 请 求 同 一 网 站 时 就 发 送 该 Cookie 给 服务 器 (前 提 是 浏览 器 设置 为 “启用 Cookie”)。 


Cookie 的 名 称 和 值 可 以 由 


服务 器 端 开发 商 自 己 定义 ， 对 于 JSP 而 言 ， 也 可 以 直接 写 入 


Jsessionid， 这 样 服务 器 可 以 知道 该 用 户 是 否 为 合法 用 户 以 及 是 否 为 需要 重新 登录 等 。 
尽管 Cookie 没有 病毒 那么 危险 ， 但 它 仍 包 含 了 一 些 敏 感 信息 : 用 户 名 、 计 算 机 名 、 使 


用 的 浏览 器 和 曾经 访问 的 网 站 。 用 户 不 希望 这 些 内 容 泄 露出 去 ， 尤 其 是 当 其 中 还 包含 有 私 
人 信息 的 时 候 。 这 并 非 危 言 答 听 ， 一 种 名 为 Cross Site Scripting 的 工具 可 以 达到 此 目的 。 


户 在 受到 Cross Site Scripting 攻击 时 ，Cookie“ 盗 贼 ” 和 “Cookie 毒药 ”将 窃取 这 些 敏感 信 
息 。 一 旦 Cookie 落 入 攻击 者 手中 ， 后 果 可 想 而 知 。 


此 ， 为 了 保证 上 网 安全 ， 我 们 需要 对 Cookie 进行 安全 设置 。 


(1) 查询 自己 所 使 用 的 正版 本 。 
选择 【帮助 ] 一 【关于 Internet Explorer】 命 令 , 在 弹出 的 窗口 中 , Internet 


打开 下 浏览 器 ， 
Explorer 图 片 标题 下 


(2) 如 果 您 使 有 


的 第 一 行 ， 就 是 有 关 版 本 信息 ， 一 般 是 7.0 或 8.0。 
的 是 IE 7.0 或 IE 8.0 版 本 ， 请 按 以 下 几 个 步骤 启用 Cookie。 


@ 选择 【工具 】 一 【Internet 选项 】 命 令 。 


@ 在 打开 的 【Internet 选项 】 对 话 框 中 单 


选项 组 中 再 单 击 【 高 级 】 按 钮 。 


@ 在 弹出 的 对 话 框 中 ， 选 中 【覆盖 


# 【隐私 】 选 项 卡 ， 在 【高 级 隐私 策略 设置 】 


自动 Cookie 处 理 】 复 选 框 ， 在 【第 一 方 Cookie】 


选项 组 中 选中 【接受 】 单 选 按钮 ， 在 【第 三 方 Cookie】 选 项 组 中 选中 【接受 】 单 选 按 钮 ， 
然后 选中 【总 是 允许 会 话 cookie】 复 选 框 ， 如 图 7.12 所 示 。 设 置 完成 后 单 击 【 确 定 】 按 钮 ， 
关闭 【高 级 隐私 策略 设置 】 对 话 框 ,最 后 单 击 【 确 定 】 按钮 ， 关闭 并 保存 Internet 选项 设置 。 


相对 | 
人 凡凡 cov 这 


Cookie 


[Chay cooie 4 O 
第 一 方 Cookie 第 三 方 Cookie 
他 接受 办 他 接受) 
广 拒绝 加 广 拒绝 四 
人 提示 四 个 提示 外 


Cw | ws | 


图 7.12 【高 级 隐私 策略 设置 】 对 话 框 
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SY 7.6 回 到 工作 场景 


浏览 器 劫持 常见 的 异常 现象 有 以 下 几 种 。 

(1) 计算 机 上 的 主页 或 其 他 设置 被 更 改 ， 包 括 增加 了 一 些 指向 非常 用 网 站 的 链接 。 
(2) 无 法 浏览 某 些 网 页 ， 例 如 反 间 谍 软 件 和 其 他 安全 软件 站 点 。 

(3) 出 现 级 联 弹出 窗口 ， 例 如 屏幕 上 出 现 无 尽 的 连环 广告 弹出 窗口 。 

(4) 安装 了 新 的 工具 栏 或 收藏 夹 ， 并 提供 指向 用 户 不 需要 的 网 页 的 图 标 和 链接 。 
(5) 减 慢 计算 机 的 运行 速度 ， 例 如 恶意 软件 会 减 慢 计 算 机 的 运行 速度 的 。 

针对 上 述 问题 ， 现 在 请 跟随 笔者 一 起 ， 开 启 浏览 器 的 安全 防护 之 旅 。 


7.6.1 检测 浏览 器 的 安全 漏洞 


当 你 并 不 知道 自己 浏览 器 存在 哪些 安全 漏洞 时 ， 可 以 进入 ScanIT 网 站 
(http://bcheck.scanit.be/bcheck/index.php) 对 自己 的 浏览 器 进行 检测 。 

打开 ScanIT 网 站 页 面 ， 它 首先 显示 出 用 户 的 浏览 器 当前 所 使 用 的 版 本 ， 以 及 操作 系统 
版 本 等 ， 如 图 7.13 所 示 。 了 解 这 些 后 ， 其 下 方 有 三 个 选项 : 第 一 个 选项 是 Only test for bugs 
Specific to my type of browser ( 仅 测 试 浏览 器 的 Bug)， 这 个 检测 项 目 只 能 检测 19 个 项 目 ; 第 
二 个 选项 是 Run all available tests (对 所 有 浏览 器 所 有 项 目 进行 检测 )， 这 个 检测 项 目 包含 了 
34 项 目 ， 可 以 对 浏览 器 进行 全 面 检 测 ， 第 三 个 选项 是 Choose individual tests( 自 定义 检测 ， 
这 个 检测 项 目 可 检测 16 项 )。 用 户 可 以 根据 自身 的 需求 进行 选择 。 


detecton of 


vulnerabibes 
Free Ip Scanl 


The test requires persistent cookies to be enabled. The cookie is used 
to restore your session after browser crash. 

Your bromser reports to be: “Wozilla/5.0 (Windows; U, Windoms NT 6.1; 
en-US) AppleWlebgit/534.3 (KHTHL, like Gecko) Chrome/6.0.472.33 
Safari/534. 3 SE 2.X NetaSr 1.0” 


Bromser nane: unknom 


application 


audits. 
= Cs Start the test 


Learn ethical 


图 7.13 ScanlT 网 站 页 面 


这 里 我 们 选择 的 是 第 二 项 Run all available tests， 单 击 start the test 按钮 ， 此 时 就 开始 对 
浏览 器 进行 “全 身 检 查 ” 了 。 在 检查 的 过 程 中 ， 它 会 不 断 地 弹出 窗口 ， 并 且 还 会 显示 出 检 
测 进度 以 及 一 些 相关 的 信息 ， 如 图 7.14 所 示 。 等 到 检测 操作 完毕 后 ， 会 显示 出 检测 浏览 器 
的 一 份 安全 报告 ， 如 果 存 在 漏洞 ， 也 会 详细 地 显示 出 来 。 

对 于 所 检测 出 来 的 漏洞 将 会 分 成 三 类 显示 : High risk Vulnerabilities (高 危险 漏洞 )、 
Medium Risk Vulnerabilities( 中 级 危险 漏洞 ) 和 Low Risk Vulnerabilities( 低 级 危险 漏洞 )， 如 果 
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你 的 浏览 器 存在 漏洞 ， 不 仅 会 显示 在 这 三 个 类 别 中 ， 还 会 显示 存在 漏洞 的 个 数 。 此 外 ， 对 
于 漏洞 也 会 给 予 相关 的 信息 提示 ， 并 且 对 应 其 漏洞 还 会 给 出 补丁 的 下 载 地址 ， 即 使 是 计算 
机 新 手 ， 只 要 按照 页 面 上 的 信息 ， 按 部 就 班 地 进行 操作 便 可 修补 漏洞 了 。 

如 果 你 觉得 以 上 浏览 器 的 检测 还 不 够 细致 ， 可 以 登录 www.pcflank.com 站 点 进行 检测 ， 
它 是 一 家 俄罗斯 的 安全 站 点 ， 可 以 对 浏览 器 、 端 口 、 木 马 、 信 息 泄露 等 项 目 进行 检测 。 


st — Microsoft Internet 
D) 收藏) 工具 帮助 QD 
六 万 mr 让 如 全- 导 回 -不 加 为 

和 疾 wymaea vemst Nader ne Dn ss” 


Ba 二 am “加 六 人 9 要 村 20 站 SS YR A A 


Ga -日 


sbrowser security test 


Now tosting "Mozilla memory corruption vulnerabilities 
(rv:1.8.1.10)” vulnerability (test 13 out of 17) 


图 7.14 显示 检测 进度 


www.pcflank.com 网 站 为 大 家 提供 了 7 种 安全 检测 方式 : PC Flank Leaktest( 测 试 防火 墙 
是 否 可 以 防止 信息 泄露 )、Stealth Test( 隐 身 检测 )、Quick Test( 快 速 检 测 )、Browser Test( 浏 览 
器 检测 )、Trojans Test( 木 马 端 口 检测 )、Advanced Port Scanner( 高 级 端口 扫描 )、Exploits Test( 性 
能 检测 )， 如 图 7.15 所 示 。 为 了 安全 起 见 单 击 Quick Test 标签 ， 对 计算 机 进行 全 面 检查 。 当 
然 要 想 对 浏览 器 进行 检查 ， 可 以 单 击 Browser Test 标签 就 可 以 对 浏览 器 进行 检测 了 。 而 对 
于 以 上 的 其 他 功能 ， 用 户 可 以 根据 自身 情况 进行 使 用 即 可 。 


图 7.15 www.pcflank.com 提供 的 检测 方式 


7.6.2 ”解决 浏览 器 劫持 的 方法 


1. 编辑 HOSTS 文件 
HOSTS 文件 存在 于 Windows 目录 下 的 System32\NDrivers\Etc 目录 中 。 如果 恶 意 网 页 将 


计算 机 网 络 安全 技术 日 


正常 的 域名 映射 到 恶意 网 页 的 卫 地 址 上 ， 则 输入 正常 网 址 后 会 连接 到 恶意 程序 指定 的 网 
页 上 。 
当 输 入 正常 的 网 址 却 打开 了 一 个 不 知名 的 网 站 时 ， 则 很 有 可 能 是 因为 用 户 的 HOSTS 文 
件 被 修改 了 。 此 时 ， 用 记事 本 打开 这 个 文件 ， 手 工 删除 被 恶意 程序 添加 的 项 目 并 保存 文件 ， 
就 可 以 正常 访问 你 要 浏览 的 网 站 了 (如 果 你 从 未 使 用 过 该 文件 ， 则 直接 删除 所 有 内 容 后 保存 
也 可 )。 另 外 ， 瑞 星 的 卡 卡 社区 里 有 一 个 专门 收集 恶意 劫持 网 站 的 HOSTS 文件 可 供 下 载 ， 
下 载 后 覆盖 原文 件 即 可 。 


2. 修改 注册 表 项 目 

卫 浏览 器 的 主页 地 址 、 浏 览 器 标题 、 默 认 搜 索 页 地 址 等 信息 都 是 记录 在 系统 注册 表 当 
中 的 ， 恶 意 程序 通过 对 注册 表 的 修改 就 可 以 控制 这 些 项 目的 内 容 。 我 们 也 可 以 使 用 各 大 杀 
毒 软件 附带 的 注册 表 修 复工 具 对 注册 表 进 行 修 复 。 

3. 自 定义 浏览 器 的 安全 等 级 


设置 方法 在 “7.5.2 ActiveX 的 安全 性 ”里 已 经 介绍 过 了 ， 如 图 7.11 所 示 ， 这 里 不 有 
重复 。 


4. 使 用 专用 软件 解决 


一 些 恶 意 程 序 以 作为 下 加 载 项 (Plugins) 的 方式 启动 自己 ， 每 次 启动 下 浏览 器 后 ， 恶 意 
程序 都 会 自动 运行 。 通 常 恶 意 程序 用 来 定时 弹出 广告 ， 在 下 的 右键 菜单 中 添加 恶意 网 站 链 
接 以 及 动态 修改 注册 表 等 。 另 外 ， 木 马 方式 运行 的 浏览 器 动 持 程序 ， 目 的 与 浏览 器 加 载 项 
方式 类 似 ， 只 是 自 启动 方式 不 同 。 这 种 木马 方式 的 劫持 程序 运行 更 隐蔽 ， 清 除 更 复杂 ， 还 
可 以 自动 更 新 。 针 对 这 种 浏览 器 劫持 方式 ， 我 们 推荐 一 个 专用 软件 : 清道 夫 (Upiea)。 可 以 
在 网 页 上 直接 下 载 使 用 该 软件 ， 因 为 其 安装 使 用 都 很 方便 ， 这 里 也 不 再 详细 介绍 了 。 
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遇 


7.7.1 实 训 实例 


1. 如 何 通过 一 些 简 单 设置 解除 浏览 器 的 安全 隐患 问题 

1) ” 正 的 自动 登录 

拨号 上 网 用 户 使 用 IE 时， 连接 对 话 框 有 一 个 【保存 密码 】 选 项 ,在 Web 页 面 直接 登录 
邮箱 时 也 有 【保存 密码 】 选 项 。 使 用 “*” 号 工具 软件 可 以 轻易 地 将 密码 翻译 出 来 。 所 以 建 
议 用 户 尽量 不 要 使 用 该 选项 。IE 自动 登录 界面 如 图 7.16 所 示 。 
2) 了 的 自动 完成 
下 的 自动 完成 功能 会 给 用 户 填写 表单 和 输入 Web 网 址 带 来 一 定 的 便利 , 但 同时 也 给 ) 
带 来 了 潜在 的 危险 ， 尤 其 对 在 网 吧 或 公共 场所 上 网 的 用 户 来 说 危险 更 大 。 若 需 禁 止 该 功 
能 ， 只 需 选 择 【 工 具 】 一 【Internet 选项 】 命 令 ， 在 弹出 的 对 话 框 中 选择 【内 容 】 选 项 卡 ， 
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在 【个 人 信息 】 选 项 组 中 单 击 【 自 动 完成 】 按 钮 ， 在 随后 弹出 的 【自动 完成 设置 】 对 话 框 
内 取消 选中 的 【Web 地 址 】、【 表 单 】 及 【表单 上 的 用 户 名 和 密码 】 复 选 框 ,如 图 7.17 所 示 。 
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和 
自动 完成 能 应 用 于 
唱 地 lt 区 
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[0 


用 户 名 QW): 。 v62225452142 


源 色 ) 
使 用 Windows 搜索 蒋 但 更 好 的 结果 电 ) 
输入 联想 四 


密码 加) 
加 表单 ) 
是 为 下 面 用 户 保存 用 户 名 和 密码 G5) 证 
只 是 我 0 在 保科 之 前 我 人 
各 任何 使 用 此 计算 机 的 人 AN) 
天 归口] [取消 ] [ 硬 民 性 oO) ] [ 部 助 0 ] 蕊 枉 - 己 现 
图 7.16 IE 的 自动 登录 设置 图 7.17 【自动 完成 设置 】 对 话 框 


2. 如 何 使 用 PRTG 进行 流量 监控 


PRTG 全 称 为 Paessler Router Traffic Grapher, 是 一 款 功 能 强大 且 可 以 通过 路 由 器 等 设备 
上 的 SNMP 协议 取得 流量 资讯 并 产生 图 形 报表 的 软件 ， 可 以 产生 内 部 网 络 包括 服务 器 、 路 


由 器 、 交 换 机 、 网 络 终端 设备 等 多 种 设备 的 网 络 流量 图 形 化 报表 ， 并 能 够 对 这 些 报表 进行 


统计 和 绘制 ， 帮 助 网 络 管理 员 查 找 问题 所 在 ， 分 析 网 络 的 升级 方向 。 当 然 该 软件 可 以 在 绘 
制 完毕 后 将 图 形 图 表 以 页 面 的 形式 反馈 出 来 ， 这 样 网 络 管理 员 可 以 通过 网 络 中 的 任何 一 台 
计算 机 访问 配置 了 PRTG 的 计算 机 ， 实 现 远 程 管理 ， 查 看 和 维护 网 络 流量 的 目的 。PRTG 是 
一 款 优秀 的 Win 平台 流量 监控 程序 ， 安 装 、 操 作 简单 ， 且 功能 强大 。 下 面 介绍 PRTG 的 设 


置 与 安装 方法 。 
1) 在 系统 上 添加 SNMP 服务 


单 击 【 开 始 】 按 钮 ， 依 次 选择 【控制 面板 】 一 【添加 或 删除 程序 】 命 令 ， 打 开 【 添 加 


或 删除 程序 】 对 话 框 , 从 中 添加 SNMP 服务 (Simple Network Management Protocol), 如 图 7.18 


所 示 。 
BET [1 
安 站 8 程序 
aa 和 认 反 杠 家 未 只 
TT 
pp eet ine eal 的 如 科 包 ): 


‘#0®|F-5m)| WN a 


图 7.18 添加 SNMP 服务 
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2) ”在 系统 服务 中 启动 SNMP 服务 
在 本 地 计算 机 中 ， 打 开 【SNMP Service 的 属性 】 对 话 框 ， 切 换 到 【常规 】 选 项 卡 ， 设 
置 启动 类 型 为 【自动 】， 如 图 7.19 所 示 。 


ce 的 尾 性 (本 地 计算 机 ) 
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显示 名 称 四 : EE 
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tocol (SHMFP) requests to be 人 
this computer. If this service is 国 
可 执行 文件 的 路 径 0D : 


EWINDOYS\Systen32\ nap exe 


启动 到) 让 hE | 暂停 下 ) 翁 复 ) 
图 7.19 在 系统 服务 中 启动 SNMP 服务 
3) ”设置 团体 名 为 只 读 方 式 
在 本 地 计算 机 中 ， 打 开 【SNMP Service 的 属性 】 对 话 框 ， 切 换 到 【安全 】 选 项 卡 ， 进 


入 如 图 7.20 所 示 的 对 话 框 添加 接受 团体 名 称 并 选中 【接受 来 自 这 些 主机 的 SNMP 数据 包 】 
单 选 按钮 。 


其 1 中 | 羽 复 | 代理 | 了 时 安全 | 依存 关系 | 


JI 发 送 身份 验证 陷阱 WD 
-接受 团体 名 称 四 ) 


(ex 


c 近来 自作 主机 的 SWMP 数据 包 CC) 


7.20 设置 团体 名 为 只 读 方式 


4) ”安装 过 程 
打开 PRTG 的 安装 主 界面 ， 选 择 Extras 一 Automatic Network Discovery 命令 ， 如 图 7.21 
所 示 。 
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~) 
prte Trarric crapher 


© ck here to ceate your frd sensor 


图 7.21 自动 搜索 


此 时 出 现 安装 向 导 说 明 ,如 图 7.22 所 示 。 单 击 Next 按 钮 , 设置 搜索 条 件 ,在 Address Range 
选项 组 中 填写 指定 的 他 地址 或 他 段 ,在 SNMP Parameters 选项 组 中 设置 如 SNMP 的 属性 设 
置 ， 如 图 7.23 所 示 。 


Welcome to the Network Discovery Wizard 


Ths vizad wil guide you hroughthe autonalic dscovery of SNMP devices/niarfaces ard 
crealion of conespondng SNMP sensor: 


The Automatic Network Discovery involves thiee main stops: 
.Fire yeu puss choose anlP dress mge you wm lo sean 


or 
2 Then PRTG scans you networ for SNMP enabled ceves which cantake afen ninuies 
3 Mlerwards you can choose Ihe new sensors fom a lst ol al discovered SNMP iems 


Please cick "Newt"to continunl 


BNI 


图 7.22 安装 向 导 说 阴 


Detection parameters 
Please provide the necessaty [SNMP] settngs for he discovet process @ 
Address ft 

FistP Acthiess: 
Last IP Acdhere: 
SNMP Parameters 
SHMP Vesion 
SNMP CommuiySting [ex ns 
SHMP Pot G7| 
和 和 出力 设 生 写 一 梯 
Speed Enabe Hahemeed Scan 


a es | ce | 
图 7.23 ”设置 搜索 条 件 
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二 


下 


击 Next 按钮 ， 进 行 搜索 并 添加 ， 如 图 7.24 所 示 。 


Network Scan 
PRTG is perfoming the network scan 


ca es |] 
图 7.24 搜索 
单 击 Next 按钮 ， 选 择 需 要 监控 的 设备 ， 如 图 7.25 所 示 ， 到 此 安装 完成 。 


Select Sensors 
Please select the devices/interfaces for which new sensots should be created 吕 


[Please check each hem you want to create a new sensor lor 


-I¥ #1 (MS TCP Loopback interface), Software Loopback Connected 10000 kb/s 
[3 #65539 (Broadcom NetXireme Gigabit Ethemet #2], Ethemet Connected, 100000 kb/s 
克 #65540 (intel(R) PRO/100 5 Server Adapter), Ethemet, Connected 100000 kb/s 


SelectAl | Select Comnected | Select None 
Back Cancel 
图 7.25 选择 监控 的 设备 


5) PRTG 的 主 界面 

此 时 进入 PRTG 的 主 界面 ， 可 即时 显示 当前 设备 上 的 流量 ， 如 图 7.26 所 示 。 还 可 显示 
详细 日 期 及 时 间 段 流量 ， 如 图 7.27 所 示 。 

户 可 选择 图 形 界 面 和 表格 界面 ， 如 图 7.28 所 示 。 还 可 设置 报告 基本 时 间 ， 如 图 7.29 


所 示 。 
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7.26 ”显示 流量 


Port bit Ethernet) 


Graph: 60 Minutes | Graph: 24 Hours | Graph 30 Days | Graph 365 Days | Table: 24 Hours | Table: 30 Days | Table: 355 Days | 所 一 在 看 月 期 


漳 量 大 小 


Live Graph - 60 Minutes - 30 sec Interval 


国王 


时 间 良 一 场 1120 1130 310 1150 1200 


出 
Bndh Ta ee 


[ShowLegend FRR | 
7.27 详细 日 期 及 时 间 段 流量 显示 
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Port 65540 (Broadcom NetXtreme Gigabit Ethernet) on HUB-ISA-01 (10.46.7.110) 
Bandwidth Traffic IN Bandwidth Traffic OUT Sum Coverage 
lbyte | kbklsecond| kbyte | lbkjsecond| lbyte | lbklsecond|  % 
1,689.618 80.375 27,501.334 1,308.006 29,190.952 1,388.381 57 
7,376.074 201.456 22,472.514 613.772 29,6486.566 815.228 100 
2507.292 76.059 36,767.552，1115.348 39,274.844 1,191.407 0 
16,143,338 440.909 3,277.217 589.508 19,420.555 530.417 100 
10,159.034 277.474 10,929.147 298.498 21,088.182 575.972 100 
3,849.315 105.137 10,043.210 274.320 13,892.525 379.456 100 
9340.836 255.127 33,804.467 923.334 43,145.303 1,178.460 100 
8,829,124 241.126 14,233.517 388.735 23,062.641 629.861 100 
5,253,267 143.478 64,766.073| 1,768.840 70.019.340，1.912.318 100 
3,418,942 93.379 41,480.396 1,132.918 44,899.338 1,226.297 100 
2,228.237 60.856 16,795,748 458.728 19,023.965 519.584 100 
2,004.954 54.760 8,295.763 226.575 10,300.717 281.335 100 
2,189,893 59.811 8,727,867 238.377 10,917.760 298.187 100 
2205.346, 60.233| 14,332,727 391.457 16,538,.072 451.690 100 
2174.695 ,59.396, 10,441,479, 285.179 12,616.175| 344.575 100 
1,397,779 38.176 7,320,394 199.936 8718.173 238.112 100 
2,065,533 56.414 8,743,124 238.785 10,808.657 295.199 100 
2,171,641 59.310 10,285.216 280.911 12,456.856 340.221 100 
3,154.116 86.146 15,219.489 415.677 18,373.605 501.822 100 
1734.433| 和 .371| 12,005.899 327.907 13,740.332 375.278 100 
2,614.304 71.402 14,568.124 397.886 17,182.428 469.269 100 
2,187,211 59.737 17,194,771 469.626 19,361.961 529,363 100 
y Puo feesn 


7.28 可 选择 的 图 形 界面 和 表格 界面 


it Report 


Settings | Sensors | Email& Export | 
Report Name: 6-3 reportd 
Reporting Period: Month 了 | fom 加 了 | to Jas day bd 


[period is full month) 


Accounted hours «|00:00 了 | to [23:59 了 | [= whole day] 
Detail interval: 1 1 [duas "| 


Dptions: ly Include Details |¥ Remove Empty Rows 
ly Include Graphs 
厂 Include Percentile 
厂 Include Biling 


Layout: 个 Portrait 
© Landscape 


图 7.29 报告 基本 时 间 设 置 
户 可 以 选择 其 中 某 个 设备 产生 报告 ， 如 图 7.30 所 示 。 
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Setings Sensors | Emalt Export | 


厂 Port 1 (MS TCP Loopback niefacel FE 二 


厂 Por 65539 (Broadcom NetXtreme Gigabit Ethemet #2] on H 
PE 


图 7.30 选择 其 中 某 个 设备 产生 报告 


可 以 自行 选择 报告 通知 条 件 及 生成 格式 存放 目录 ， 如 图 7.31 所 示 。 
| 


Settings | Sensors Emal& Export | 


Create Report every monh 了 oe h 了 
The repott is generaled a one o'clock 
Send Report via Email 


Note: The SMTP server must be speciied n the gobal oplions | 
meer] sednow || 
Tenplale [CcC\Progam Fies\PRTG Tafic Guaphermaihemplteswmsiem 加 | 
Fomar GPDF CAS CRTF | 
T Gove Report To Fi 一 一 
Note: Make sure the service has acces ights to the speciied okder 

Folder 区 ET 


Fomat: CPor FAs Ade Tr HM 


esl es 


7.31 选择 报告 通知 条 件 及 生成 格式 存放 目录 


可 以 进行 Web 页 面 卫 及 端口 设置 ， 如 图 7.32 所 示 。 
TI 


茧 PRT6 Traffic Grapher PAESALER 


User nietare a 
Reporing 
bi Lp [Sat 
Percenie 一 
we po fom Pot eo recenmerded, dherwee sy ocr S000 ardup) 
Wob Si 
User 
es "Wite Npsarver sc0ess oa 
日 System 
Malssrvar 
Tweaks A 
Sohechles a 
他 Uniinied access The weh maedaceisnat pootected fuse wh cautionl) 
Linied Access Accassis onl alomedfor users deined on he "Users” page 
厂 Hide outon, group tag: and 1ag favories in websarver 


Cw] | 
图 7.32 Web 页 面 IP 及 端口 设置 
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可 以 设置 可 访问 用 户 和 组 ， 如 图 7.33 所 示 。 
Notions 区 
PRTG Traffic Grapher SSLER 


User Interface 

Reporting 

EB Biling Users: 
Percenie 

© Web Server 


before enabing pubic access | 
Groups 


日 Se This userisa member of 
Wave Adrministrators 
Tweaks 

Schedules 


TUser Accounts for Web Interface access 


Add | ER [EE neste ene 


7.33 ”可 访问 用 户 和 组 设置 
可 以 设置 数据 备份 ， 如 图 7.34 所 示 。 


User Interface 
Reporting 
© Biling | WindowsNT/2000/XP/2003/Vista only) 
Percenie 
EB Web Server For bes monhorng coverege Kis recommended to un PRTG Tralic Grepher 和 asocaled 
‘Web Site Se a always be active whenever the machine is 
Users powered up [even when nobody is logged in}. And whenever the engine is runring you can 
i access the cunent monitoring data through the web interface. 


Mailserver 
Tweaks 
Schedules 


rday ee one ZIP fle at midnight 


C\Documents and Settings\Al Users\Documen 加 


7.34 数据 备份 设置 
3. 使 用 Sniffer 进行 捕 包 分 析 
(1) 使 用 前 的 准备 ， 如 图 7.35 所 示 。 
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Sannery Address |Data Pattern | Mrenced] 3uffex | Sexnos For 


Bedress Erewn Addrore: ragsble) 


图 7.35 使 用 前 的 准备 


(2) 定义 希望 捕获 的 协议 的 数据 包 ， 如 图 7.36 所 示 。 
CEI 了 > 


LDAP 
rpros ccr) | 
2 到 
Packet Size Packet Type 
[oy 二 ET = 
BCRC Error 
All sizes BJobber 过 


取消 | Profiles... 
图 7.36 定义 数据 包 


~ 
(3) 定义 捕获 数据 包 的 缓冲 区 ， 如 图 7.37 所 示 。 
Samaary | Adaress | Data Pattern | Advanced Buffer | Settings For 
Fatfer siz 一 一 Frhen buffer is ful1— 
Less J Hore 入 Stop captur 
40 eg. Byte 他 Erop buffer 
Packet sizt 一 | 
Ul 
hole Packet 
FCapture buffer 
WS Save to £i 
Director [ey Docusents\ 图 | 
Filenme [Estee Naber of 下 
[Vnique nanes Nesp file nt 


Cm |] me | ree..| 
图 7.37 ”定义 捕获 数据 包 的 缓冲 区 
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(4) 将 定义 的 过 滤 规 则 应 用 于 捕获 中 ， 如 图 7.38 所 示 。 


>» 
x| 


Genera | 
Select a filter for capture: 


Adaress 
Type: 
Mode: Include 
10.1.30.100 人 ~- jay 
10.1.1.1 €-> hny 
日 Advanced 
Protocol: DRSCICP), FIP, HTTP, NETBIOS( 
64 < Packet size < 1800 
日 Buffer 
Buffer size: 40 leg, Byte 
Buffer action: Wrap 


图 7.38 将 定义 的 过 滤 规 则 应 用 于 捕获 中 
(5) 捕获 数据 包 时 的 可 选项 ， 如 图 7.39 所 示 。 


Pile [geniter Ceptsr。 Disploy Tools Detebere。 Window elp 


etrix 
Application Besponse Time 


图 7.39 捕获 数据 包 时 的 可 选项 


7.7.2 工作 实践 常见 问题 解析 


1. DNS 服务 器 的 问题 

当 卫 无 法 浏览 网 页 时 ， 可 先 尝 试用 IP 地 址 来 访问 ， 如 果 可 以 访问 ， 那 么 应 该 是 DNS 
出 了 问题 ， 造 成 这 种 问题 的 原因 主要 有 以 下 两 种 。 

一 种 可 能 是 连 网 时 获取 DNS 出 错 或 DNS 服务 器 本 身 的 问题 ， 这 时 用 户 可 以 在 网 络 的 
属性 里 手动 指定 DNS 服务 器 地 址 (地 址 可 以 是 用 户 当地 ISP 提供 的 DNS 服务 器 地 址 ， 也 可 
以 用 其 他 地 方 可 正常 使 用 的 DNS 服务 器 地 址 )。 操 作 方 法 : 依次 选择 【控制 面板 】 一 【网 络 
拨号 连接 】 一 【本 地 连接 】 一 【属性 】 一 【TCP/IP 协议 】 一 【属性 】 一 【使 用 下 面 的 DNS 
服务 器 地 址 】 选 项 ， 然 后 输入 要 使 用 的 DNS 服务 器 地 址 。 不 同 的 ISP 有 不 同 的 DNS 地 址 。 
有 时 候 因为 路 由 器 或 网 卡 的 问题 ， 无 法 与 ISP 的 DNS 服务 连接 ， 这 种 情况 下 可 把 路 由 器 关 
一 会 儿 再 开 ， 或 者 重新 设置 路 由 器 。 

另外 一 种 可 能 是 本 地 DNS 缓存 出 现 了 问题 。 为 了 提高 网 站 访问 速度 ， 系 统 会 自动 将 已 
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经 访问 过 并 获取 人 P 地 址 的 网 站 存 入 本 地 的 DNS 缓存 里 , 一 旦 再 对 这 个 网 站 进行 访问 , 则 不 
再 通过 DNS 服务 器 ， 而 是 直接 从 本 地 DNS 缓存 取出 该 网 站 的 IP 地 址 进行 访问 。 所 以 ， 如 
果 本 地 DNS 缓存 出 现 了 问题 ,也 会 导致 网 站 无 法 访问 。 此 时 ， 可 以 选择 【开始 】 一 【运行 】 
命令 ,在 【运行 】 对 话 框 中 输入 ipconfig /flushdns 命令 后 单 击 【 确 定 】 按 钮 ， 对 本 地 DNS 
缓存 进行 重建 。 

2. 网 络 协议 和 网 卡 驱动 的 问题 


正 无 法 浏览 有 可 能 是 网 络 协议 (特别 是 TCP/IP 协议 ) 或 网 卡 驱动 损坏 导致 的 ， 此 时 可 尝 
试 重 装 网 卡 驱 动 和 网 络 协议 。 

下 浏览 器 被 迫 连接 某 网 站 的 解决 办 法 如 下 。 

第 一 ， 右 击 下 浏览 器 ， 选 择 【 属 性 】 选 项 ， 在 弹出 的 对 话 框 中 检查 Internet 选项 设置 
【主页 】 项 是 否 被 修改 ， 如 果 是 请 改 为 空白 页 ， 并 清空 正 的 临时 文件 夹 。 

第 二 ， 升 级 “瑞星 杀毒 软件 ” 至 最 新 版 ， 查 杀 内 存 中 是 否 有 病毒 运行 (只 查 杀 内 存 即 可 )。 

第 三 ， 选 择 【 开 始 】 一 【运行 】 命 令 ， 在 弹出 的 【运行 】 对 话 框 中 输入 “msconfig” 命 
令 后 单 击 【 确 定 】 按 钮 ， 打 开 【 系 统 配置 实用 程序 】 对 话 框 ， 检 查 【 启 动 】 项 所 记录 的 每 
个 不 明 启动 项 的 文件 名 及 所 在 路 径 ， 并 取消 这 些 自动 启动 项 。 

第 四 ， 按 Ctrl+AlttDel 组 合 键 ， 打 开 【Windows 任务 管理 器 】 对 话 框 ， 检 查 【 进 程 】 
中 是 否 有 和 启动 项 中 同名 的 程序 在 运行 ， 尝 试 结束 该 进程 。 注 意 ; 攻击 程序 很 可 能 与 某 些 
系统 程序 同名 ， 即 恶意 攻击 程序 伪装 成 系统 进程 运行 。 也 许 会 有 两 个 同名 进程 存在 ， 这 很 


可 能 就 是 你 要 找 的 凶手 。 
< 本章 习题 
一 、 选 择 题 
1. 下 面 ( ， ) 不 属于 Web 服务 器 存在 的 主要 漏洞 。 
A. 物理 路 径 泄露 B. CGI 源 代码 泄露 C. 目录 遍历 D. DOX 
2. 下 面 ( 。”) 不 是 ActiveX 控件 组 成 的 要 素 。 
A. 属性 B. 方法 C. 目标 D. 事件 
二 、 思 考题 


1. Web 安全 性 问题 主要 表现 在 哪些 方面 ? 

2. 如 何 对 ActiveX 控件 的 漏洞 进行 安全 防范 ? 
3. Web 服务 器 的 安全 设置 有 哪些 方面 ? 

4. 浏览 器 动 持 后 会 有 哪些 异常 现象 ? 

5. 如 何 检测 浏览 器 是 否 被 劫持 ? 


0] 
[2] 
[3] 
呈 
[5] 
[6] 
[7] 
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